500 likes | 593 Views
Learn about the fundamental principles of network security, including encryption, authentication, and message integrity. Understand the importance of data security and the role of various security measures such as firewalls, sniffers, and IDS.
E N D
UNICSOverView em Segurança de Redes Prof. Ivonei Freitas da Silva Unioeste-Cascavel ifreitas@unioeste.br 8a: Segurança de Redes
Segurança em Redes Os princípios de segurança em redes: • criptografia • autenticação • integridade das mensagens • distribuição de chaves • firewalls, sniffers, ids • segurança nas camadas de aplicação, transporte, rede e enlace 8a: Segurança de Redes
Quais dados são maliciosos? Quais dados são de produção? 8a: Segurança de Redes
O que é Segurança de Redes? Privacidade (Sigilo): apenas o transmissor e o receptor desejado devem “entender” o conteúdo da mensagem • transmissor cifra (codifica) msg • receptor decifra (decodifica) msg Autenticação: transmissor e receptor querem confirmar a identidade um do outro Integridade da Mensagem: transmissor e receptor querem garantir que a mensagem não seja alterada (em trânsito ou após) sem que isto seja detectado Acesso e Disponibilidade: os serviços devem estar acessíveis e disponíveis para os usuários 8a: Segurança de Redes
Dados Dados mensagens de controle e dados transmissor seguro receptor seguro canal Figure 7.1 goes here Amigos e Inimigos: Alice, Bob e Trudy • bem conhecidos no mundo de segurança de redes • Bob e Alice (amantes!) querem se comunicar de modo “seguro” • Trudy, a “intrusa” pode interceptar, apagar e/ou acrescentar mensagens Figure 7.1 goes here 8a: Segurança de Redes
Quem podem ser Bob e Alice? • ... bem, Bobs e Alices reais! • Browser/servidor web para transações eletrônicas (ex., compras on-line) • cliente/servidor home banking • servidores DNS • roteadores trocando atualizações de tabelas de roteamento • outros exemplos? 8a: Segurança de Redes
Há muitos vilões por aí! P: O que um vilão pode fazer? R: um monte de coisas! • grampo:interceptação de mensagens • inserirativamente mensagens na conexão • falsidade ideológica: pode imitar/falsificar endereço de origem de um pacote (ou qualquer campo de um pacote) • seqüestro:assumir conexão em andamento removendo o transmissor ou o receptor, colocando-se no lugar • negação de serviço: impede que o serviço seja usado por outros (ex. sobrecarregando os recursos) 8a: Segurança de Redes
K K A B A linguagem da criptografia chave de criptografia de Alice chave de decifragem de Bob criptografia de chave simétrica: as chaves do transmissor e do receptor são idênticas criptografia de chave pública: cifra com chave pública, decifra com chave secreta(privada) algoritmo de criptografia algoritmo de decifragem texto cifrado texto aberto texto aberto 8a: Segurança de Redes
Criptografia de chave simétrica código de substituição: substitui um caractere por outro • código monoalfabético: substitui uma letra por outra textoplano: abcdefghijklmnopqrstuvwxyz textocifrado:mnbvcxzasdfghjklpoiuytrewq Ex: Texto aberto: bob. eu te amo. alice Texto cifrado: nkn. cy uc mhk. mgsbc 8a: Segurança de Redes
K K A-B A-B Criptografia de chave simétrica criptografia de chave simétrica: Bob e Alice compartilham a mesma chave (simétrica): KA-B algoritmo de criptografia algoritmo de decifragem texto cifrado texto aberto mensagem em texto aberto, 8a: Segurança de Redes
Criptografia de chave pública criptografia de chave simétrica • requer que o transmissor e receptor compartilhem a chave secreta • P: como combinar que chave utilizar (em particular se nunca tiverem se encontrado)? criptografia de chave pública • abordagem radicalmente diferente [Diffie-Hellman76, RSA78] • transmissor e receptor não compartilham uma chave secreta • a chave de cifragem é pública (conhecida por todos) • a chave de decifragem é privada (conhecida apenas pelo receptor) 8a: Segurança de Redes
+ K (m) B - + m = K (K (m)) B B Criptografia de chave pública + chave pública de Bob K B - chave privada de Bob K B algoritmo de criptografia algoritmo de decifragem texto aberto mensagem em texto aberto, m texto cifrado 8a: Segurança de Redes
- K (R) A + + K K A A - - + (K (R)) = R K (K (R)) = R A A A Autenticação Com chave simétrica compartilhada , automático Com chave pública, usa a chave privada para identificar-se “Eu sou Alice” Bob calcula R e sabe que apenas Alice poderia ter a chave privada, que cifrou R, de modo que “envie a sua chave pública” 8a: Segurança de Redes
- - K (R) K (R) A T + + K K A T - - + + m = K (K (m)) m = K (K (m)) + + A T A T K (m) K (m) A T brecha de segurança Ataque do homem (mulher) no meio: Trudy posa como sendo Alice (para Bob) e como sendo Bob (para Alice) Eu sou Alice Eu sou Alice R R Envie a sua chave pública Envie a sua chave pública Trudy recebe envia m para Alice cifrada usando a chave pública de Alice 8a: Segurança de Redes
brecha de segurança Ataque do homem (mulher) no meio: Trudy posa como sendo Alice (para Bob) e como sendo Bob (para Alice) • Difícil de detectar: • Bob recebe tudo o que Alice envia, e vice versa. (ex., portanto Bob, Alice podem se encontrar uma semana depois e lembrar da conversa) • o problema é que Trudy também recebe todas as mensagens! 8a: Segurança de Redes
Assinaturas Digitais Técnica criptográfica análoga às assinaturas à mão. • Transmissor (Bob) assina digitalmente o documento, atestando que ele é o dono/criador do documento. • Verificável, não forjável: destinatário (Alice) pode verificar que Bob, e ninguém mais, assinou o documento. 8a: Segurança de Redes
Assinatura digital simples para a mensagem m: - - K K B B Assinaturas Digitais Chave privada de Bob Mensagem de Bob, m (m) Dear Alice Oh, how I have missed you. I think of you all the time! …(blah blah blah) Bob Mensagem de Bob, m, assinada (cifrada) com a sua chave privada Algoritmo de criptografia de chave pública • Bob assinou m • Ninguém mais assinou m • Bob assinou m e não m’ • Alice pode levar m, e a assinatura KB(m) para o tribunal e provar que Bob assinou m 8a: Segurança de Redes
A codificação com chave pública de mensagens longas é cara computacionalmente Objetivo: assinatura digital (impressão digital) de comprimento fixo, fácil de ser calculada. aplique função de hash H a m, obtém resumo da mensagem de comprimento fixo, H(m). Resumo (Digest) de Mensagens mensagem longa m H: Hash Function H(m) 8a: Segurança de Redes
Assinatura digital e Integridade da Mensagem com o resumo da mensagem H: Hash function H: Hash function large message m large message m + - digital signature (decrypt) digital signature (encrypt) K K B B encrypted msg digest encrypted msg digest + - - KB(H(m)) KB(H(m)) H(m) H(m) Bob envia mensagem assinada digitalmente: Alice verifica a assinatura e a integridade da mensagem assinada digitalmente: H(m) Bob’s private key Bob’s public key equal ? 8a: Segurança de Redes
Problema com chave simétrica: Como duas entidades escolhem chave secreta compartilhada pela rede? Solução: centro confiável de distribuição de chaves (KDC) agindo como intermediário entre as entidades Problema com chave pública: Quando Alice obtém a chave pública de Bob (da web, e-mail ou disquete), como ela vai saber se a chave pública é mesmo de Bob e não de Trudy? Solução: autoridade certificadora confiável (CA) Intermediários Confiáveis 8a: Segurança de Redes
KB-KDC KX-KDC KY-KDC KZ-KDC KP-KDC KB-KDC KA-KDC KA-KDC KP-KDC Centro de Distribuição de Chaves (KDC) • Alice e Bob necessitam de chave simétrica compartilhada. • KDC: servidor compartilha chaves secretas diferentes com cada usuário registrado. • Alice e Bob conhecem as próprias chaves simétricas, KA-KDC e KB-KDC , para se comunicar com o KDC. KDC 8a: Segurança de Redes
Centro de Distribuição de Chaves (KDC) P: Como o KDC permite a Bob, Alice determinar a chave secreta simétrica compartilhada para se comunicarem? KDC generates R1 KA-KDC(A,B) KA-KDC(R1, KB-KDC(A,R1) ) Alice knows R1 Bob knows to use R1 to communicate with Alice KB-KDC(A,R1) Alice e Bob se comunicam: usando R1 como chave da sessão para criptografia simétrica compartilhada 8a: Segurança de Redes
+ + assinatura digital (cifra) K K B B K CA Autoridades Certificadoras • Autoridade certificadora (CA): associam chave pública a uma entidade particular. Chave pública de Bob Chave privada da CA certificado para a chave pública de Bob, assinado pela CA - Informação de identificação de Bob 8a: Segurança de Redes
+ + assinatura digital (decifra) K K B B K CA Autoridades Certificadoras • Quando Alice precisa da chave pública de Bob: • obtém o certificado de Bob (de Bob ou de outro lugar). • aplica a chave pública da CA ao certificado de Bob, obtém a chave pública de Bob. Chave pública de Bob Chave pública da CA + 8a: Segurança de Redes
Um certificado contém: • Número de série (único para cada emissor) • info sobre o proprietário do certificado, incluindo o algoritmo e o valor da chave propriamente dita (não apresentada) • info sobre o emissor do certificado • datas de validade • assinatura digital do emissor 8a: Segurança de Redes
Internet pública rede administrada firewall Firewalls isolam a rede interna da organização da Internet pública, permitindo que alguns pacotes passem e outros sejam bloqueados. firewall 8a: Segurança de Redes
Firewalls: Para que? • Prevenir ataques de negação de serviço • Prevenir modificação/acesso ilegal aos dados internos. • Permitir apenas acessos autorizados ao interior da rede • Isolar rede com endereços inválidos • dois tipos de firewalls: • camada de aplicação • filtragem de pacotes 8a: Segurança de Redes
rede interna conectada à Internet através de um roteador firewall roteador filtra pacote-a-pacote, decisão de encaminhar/descartar o pacote é baseada em: endereço IP da origem, endereço IP do destino número das portas de origem e destino do TCP/UDP tipo da mensagem ICMP bits de SYN e ACK do TCP Filtragem de Pacotes Deve-se permitir que os pacotes que chegam entrem? Pacotes saintes podem mesmo sair? 8a: Segurança de Redes
Filtra os pacotes baseado nos dados das aplicações assim como em campos IP/TCP/UDP. Exemplo: permite que usuários internos selecionados façam telnet para o exterior. Sessão telnet do gateway para host remoto Sessão telnet do host para gateway Gateway da aplicação Roteador e filtro Gateways de Aplicações 1.Requer que todos os usuários telnet façam o telnet através do gateway. 2. Para os usuários autorizados, o gateway estabelece uma conexão telnet com o host destino. O Gateway transfere os dados entre 2 conexões 3. O filtro do roteador bloqueia todas as conexões que não têm origem no gateway. 8a: Segurança de Redes
IP spoofing: roteador não tem como saber se os dados “realmente” vêm da fonte alegada. Se múltiplas aplicações necessitam tratamento especial, cada uma deve ter o próprio gateway O software do cliente deve saber como contactar o gateway ex., deve setar o endereço IP do proxy no browser Para o UDP os filtros normalmente usam uma política de tudo ou nada. Compromisso: grau de comunicação com o mundo externo, nível de segurança Muitos sítios altamente protegidos ainda sofrem ataques. Limitações dos firewalls e gateways 8a: Segurança de Redes
Firewall Builder • IPTables • iptables -I FORWARD -p tcp -m string --string "VER " --from 51 --to 56 --algo bm -j REJECT 8a: Segurança de Redes
Firewalls Pessoais • Windows Firewall: melhor do que nada • Comodo: usuários avançados • ZoneAlarm: bem simples 8a: Segurança de Redes
Ameaças à segurança na Internet Mapeamento (Reconhecimento do terreno): • Footprinting: google, whois, registro.br, internic.net • Varredura: ping, nmap • Enumeração: Nessus • Descoberta de Falhas: Languard, Nessus • Burlando proteções: NetCat, http tunnel, ... • Engenharia Social: hummm!!!! Contramedidas? 8a: Segurança de Redes
Ameaças à segurança na Internet Mapeamento:contramedidas • registra o tráfego que entra na rede (Sniffer) • procura atividade suspeita (endereços IP, portas sendo varridas seqüencialmente) (Sniffer) • Snort – Detecção de Intrusão Open Source • Detecta variações de comportamento na rede • alert udp any any -> 192.168.1.0/24 31 (msg:"Hacker Paradise Backdoor"; flags:S; resp:icmp_port, icmp_host;) • alert tcp any any -> 192.168.1.0/24 any (msg:"Acesso Kazaa"; content:"XKazaa"; resp:rst_all;) 8a: Segurança de Redes
src:B dest:A payload Ameaças à segurança na Internet Bisbilhotar (Sniffing)os pacotes: • meios de difusão (broadcast) • NIC promíscuo lê todos os pacotes que passam • pode ler todos os dados não cifrados (ex. senhas) • ex.: C bisbilhota os pacotes de B C A B 8a: Segurança de Redes
Nessus: +preciso e +completo que Nmap 8a: Segurança de Redes
SYN SYN SYN SYN SYN SYN SYN Ameaças à segurança na Internet Recusa de serviço (DOS - Denial of service ): • inundação de pacotes gerados maliciosamente “atolam” o receptor • DOS distribuído (DDOS): múltiplas fontes de forma coordenada atolam o receptor • ex., C e host remoto atacam A com SYNs C A B 8a: Segurança de Redes
SYN SYN SYN SYN SYN SYN SYN Ameaças à segurança na Internet Recusa de serviço (DOS): contramedidas • filtrar : firewall, Snort, Ethereall, ... • Identificar rastros até a origem das inundações (provavelmente uma máquina inocente, comprometida) C A B 8a: Segurança de Redes
Esquema de criptografia de e-mails para a internet, um padrão de fato. Usa criptografia de chave simétrica, criptografia de chave pública, função de hash e assinatura digital como descrito. Provê sigilo, autenticação do transmissor, integridade. O inventor, Phil Zimmerman, foi alvo de uma investigação federal que durou 3 anos. ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- Pretty good privacy (PGP) Uma mensagem assinada com PGP: 8a: Segurança de Redes
Secure sockets layer (SSL) 8a: Segurança de Redes
Segurança IEEE 802.11 • War-driving, War-flying: procurar redes Wi-Fi abertas • Tornando o 802.11 seguro • cifragem, autenticação equipamento • primeira tentativa de segurança 802.11: Wired Equivalent Privacy (WEP): um fracasso! • tentativa atual: 802.11i (WAP, WAP2) 8a: Segurança de Redes
Algumas terminologias • Engenharia Social: tática de persuação para levar alguém a instalar programas ou fornecer dados • Zumbi: computador infectado, aberto ao controle remoto de terceiros • Phishing: uso de mensagens falsas para enganar o usuário e roubar dados pessoais • Pharming: rotea o usuário para sites falsos • Splog: Blog falso que atrai internautas para páginas que exibem anúncios 8a: Segurança de Redes
Mais terminologias • Malware: todos os tipos de softwares maliciosos • Vírus: programa que infecta outros arquivos, gera clones. Depende da execução do programa vírus • Cavalos de tróia: programa recebido como presente que executa código malicioso • Adware: software especificamente projetado para apresentar propagandas • Spyware: software que monitora atividades de um sistema e envia as informações coletadas para terceiros 8a: Segurança de Redes
Mais terminologias • Backdoors: programas que permitem o retorno de um invasor a um computador comprometido • BackOrifice e NetBus • Worm: programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador • wormnão embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar 8a: Segurança de Redes
Mais terminologias • Bots: Idem ao Worm, porém acrescenta comunicação do programa malicioso com um servidor (o estrago é maior!!!) • KeyLoggers, ScreenLoggers: programas que captura buffer teclado ou memória de vídeo 8a: Segurança de Redes
Política de Segurança Nós!!! Usuário Gerentes Métodos Ferramentas Orçamento 8a: Segurança de Redes
Agradecimentos • Kurose, Ross: Redes de Computadores e a Internet: uma nova abordagem • Comunidades Linux pelo mundo • Comunidades de Segurança pelo mundo • Internet • A vocês! 8a: Segurança de Redes