Escolar Documentos
Profissional Documentos
Cultura Documentos
Capítulo V
Técnicas de defesa e de
segurança para redes de
computadores
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 1
Nota prévia
William Stallings,
"Data & Computer Communications - 6th Edition,"
Prentice-Hall, 2000
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 2
Organização do capítulo
• Firewalls
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 3
A problemática da segurança
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 4
A situação actual
• Muitos protocolos de rede e transporte foram concebidos sem uma
perspectiva de segurança na sua concepção (IP, UDP, TCP, …)
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 6
Definir redutos - firewalls
ISP1
ISP2
company
network
ISP4
ISP3
Internet
Perímetro de
segurança
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 7
Perímetro de
ISP1 segurança
Secure
logical link ISP2
Company
Network A
Company
Network B
ISP3
ISP4
Internet
Perímetro de
segurança
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 8
Tornar um host seguro é fácil ?
Um host TCP/IP não tem uma única via de entrada como por exemplo o
sistema de “login” (situação típica noutros ambientes de outros tempos).
Num host UNIX por exemplo, estamos a falar a priori de várias dezenas de
sub-sistemas de entre os quais: mail, telnet, rlogin, rsh, rexec, finger, ftp,
tftp, www, NFS, RPC, X-Windows, etc. A maioria das instalações
normalizadas deixa todas estas portas escancaradas.
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 9
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 10
Definição de Firewall
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 11
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 12
Serviços prestados pelos firewalls
• Controlo dos serviços. Controlo de quais os serviços que são acessíveis de
um lado e do outro do firewall e quais os que o podem atravessar e em que
sentido.
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 13
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 15
Tipos de firewalls
• Application-level gateways
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 16
Packet-filtering firewall
O essencial para implementar os filtros é definir qual a política que tem de ser
implementada e depois concretizá-la através da parametrização de regras de filtragem
(do tipo accept, deny, …)
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 17
Tipos de Packet-filtering
Por exemplo, como admitir que só se possam abrir conexões de dentro para fora ?
Como garantir que apenas entram pacotes UDP em resposta a solicitações de hosts
internos ?
Como tratar aplicações especiais como por exemplo FTP (activo), H.323, SIP, P2P, ?
Este tipo de situações exigem que a filtragem se baseie numa análise dita stateful ou
dinâmica. O firewall tem de tomar em consideração os pacotes anteriores quando
decide se um pacote pode passar ou não.
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 18
Exemplos de Packet Filtering stateless
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 19
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 20
Exemplo particular - NAT boxes
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 21
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 22
Dual homed ou Apllication level
No IP forwarding
Firewall
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 23
Exemplo
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 24
A segurança do firewall
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 25
Configurações típicas
Internet
Screening router
ou firewall
Internet
Servidor público
Intranet
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 26
Conviver com o inimigo
• Para atravessar o campo do inimigo a vertente essencial é a da segurança
das comunicações através de mecanismos e políticas de segurança
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 27
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 28
Link Encryption
• Cada link é equipado com dispositivos para cifra (caixas negras) em cada
extremidade
• Pode ser aplicado numa rede privada fechada implementada através de linhas
dedicadas
• Pode também ser aplicada numa rede pública de circuitos virtuais seguros
• O tráfego é decifrado nos switchs / routers para que estes o possam processar
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 29
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 30
As redes públicas
• Tradicionalmente as instituições construíam redes privadas alugando circuitos
dedicados aos operadores de Telecomunicações. Nestas situações, menosprezava-se a
possibilidade de ser feito “tapping” às redes de telecomunicações ou utilizavam-se as
soluções de segurança atrás apresentadas
• Numa segunda fase as instituições optaram por utilizar redes privadas baseadas nas
redes públicas de circuitos virtuais (X.25, Frame-relay, ATM, ...). A problemática da
segurança continuou a ser tratada basicamente da mesma forma
• Repare-se que fazer “tapping” é uma operação com alguns custos e riscos pelo que
estes devem ser contrabalançados por um ganho potencial relevante
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 31
Secure ISP2
tunnel
Intranet
ISP3
ISP4
Intranet Internet
Perímetro de
segurança
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 32
O que é um túnel IP sobre IPP
• Um túnel em IP é implementado encapsulando IP sobre IP. A rede normal
transporta os pacotes IP externos com um número de protocolo especial. Quando
estes chegam ao destino, são analisados e aparece um novo pacote IP, o interno.
• Um conjunto de links lógicos deste tipo pode constituir aquilo que se chama
frequentemente uma IP-VPN, ou IP Virtual Private Network.
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 33
• Envolve:
• Authentication header
• Encapsulated security payload
• Troca de chaves e gestão de associações de segurança
• Muitos RFCs (RFC 2401, 2402, 2406, 2408, 2409, 2411, ...)
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 34
IPSec: Segurança no nível rede
Associações de segurança - SA
• Relação unidireccional entre o emissor e o receptor - a comunicação nos
dois sentidos exige duas associações
• Modo Transporte
_ Protecção para o nível transporte
_ Abrange o payload dos pacotes IP
_ End to end entre dois hosts
• Modo túnel
_ Protecção de todo o pacote IP
_ Todo o pacote interno é considerado como payload pelo pacote de fora
_ Os routers intermédios não analisam o pacote interno
_ Os pacotes internos e externos podem ter endereços origem / destino
distintos
_ Este modo pode ser implementado por um firewall
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 37
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 38
AH - Authentication Header
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 39
Protocolo ESP
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 40
Pacote ESP
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 41
Âmbito do ESP
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 42
Gestão de chaves
• Pode ser realizada de forma manual em pequenas redes
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 43
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 44
Motivações das VPN
• Rentabilidade económica
• Privacidade
• Segurança
• Qualidade de serviço
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 45
Métodos
• Ao nível rede:
_ Baseadas numa gestão muito cuidadosa dos anúncios de routing
(“Controlled Route Leaking”)
_ Baseadas em NAT
_ Túneis IPSec entre firewalls dos domínios privados
_ Outro tipo de túneis especialmente previstos para ambientes dial up
(L2TP, PPTP, ...)
_ Baseadas em MPLS
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 46
Para saber mais
Este capítulo é tratado, por exemplo, nas seguintes referências bibliográficas:
• De forma limitada no capítulo 7 da referência James F. Kurose and Keith W. Ross, “Computer
Networking - A Top-Down Approach Featuring the Internet,” Addison Wesley Longman, Inc.,
2nd Edition, 2003
• De forma limitada na secção 18.5 da referência William Stallings, “Data & Computer
Communications - 6th Edition,” Prentice-Hall, 2000
• O livro William Cheswick, Steven Bellovin and Aviel Rubin, “Firewalls and Internet Security,”
Addison-Wesley, 2nd Edition, 2003, é integralmente dedicado ao tema da segurança baseada
em firewalls
• O livro Naganand Doraswamy and Dan Harkins, “IPSec - The New Security Standard for the
Internet, Intranets, and Virtual Private Networks,” Prentice Hall, 1999 é integralmente
dedicado ao tema IPSec e VPNs
• Existem inúmeros “white papers” de qualidade sobre estes assuntos disponíveis publicamente.
Material de suporte às aulas de CRC de J. Legatheaux Martins – Copyright DI – FCT/ UNL – Cap. 5 – Segurança / 47