Slides de Aula Unidade VI

Prévia do material em texto

Prof. Ricardo Sewaybriker
UNIDADE VI
Segurança Física e Lógica
 Os administradores de redes devem estar atentos para utilizar as tecnologias 
existentes sempre com um olhar crítico na segurança da informação. Dessa forma 
pode descobrir que ferramentas que foram desenvolvidas para facilitar o tráfego 
de informações podem trazer benefícios à segurança da informação, caso 
configuradas eficientemente.
6. VPN, VLANS, IPSec e segurança em redes sem fio
 As VPNs (Redes Virtuais Privadas) referem-se ao acesso entre redes por meio 
seguro por meio de um rede insegura. A figura abaixo demostra uma visão 
simplificada de uma VPN.
6.1 VPN (Virtual Private Network)
Fonte: livro-texto
 Com a popularização da internet, porém, um novo nicho de possibilidades se 
abriu para o uso de tais tecnologias, pois ela permitia que empresas em locais 
diferentes do globo pudessem se comunicar sem gastar fortunas com links diretos 
internacionais. Porém, por conta dos problemas de segurança, começaram a se 
popularizar tecnologias seguras de VPN, que utilizam criptografia. 
 Apesar de tecnicamente o termo não implicar o uso de segurança; hoje, a palavra 
VPN é quase sinônimo de VPN segura, ou seja, que usa mecanismos de 
criptografia e proteção.
6.1 VPN (Virtual Private Network)
6.1 VPN (Virtual Private Network)
Fonte: livro-texto
 Nessa solução foram substituídos circuitos de acesso dedicados por conexões 
lógicas sobre a internet. Essas conexões podem ser realizadas entre nós, 
roteadores, firewalls e outros dispositivos.
 Dentro desse conceito, a internet tornou-se um backbone virtual, gerando uma 
redução potencial de custos com a substituição de linhas privativas. Essa solução 
permite a conexão em alta banda com matriz, além de usuários de home office
com conexão via xDSL ou cable modem.
6.1 VPN (Virtual Private Network)
 Outras aplicações para VPN incluem acesso para pessoal que trabalha em campo 
e conexões entre empresas parceiras.
 A figura demonstra alguns cenários de uso de VPN, destacando usuários de 
acesso remoto, conexão de filiais e extranet com empresas parceiras.
 Embora a demanda por telecommuting e home office já exista mesmo antes da 
disponibilidade dos serviços xDSL, os meios existentes, isto é, conexões 
discadas, não tinham performance suficiente (dial-up assíncrono) ou não existiam 
na disponibilidade (RDSI) necessária.
6.1 VPN (Virtual Private Network)
 Aplicações para VPN
6.1 VPN (Virtual Private Network)
Fonte: livro-texto
 Os serviços xDSL oferecem banda passante mais do que suficiente para atender 
a demanda de escritórios remotos individuais (home office) e mesmo de 
escritórios remotos de maior porte. A conexão de usuários móveis e remotos à 
rede corporativa via VPN. 
6.1 VPN (Virtual Private Network)
Fonte: livro-texto
 Aplicações para VPN
6.1 VPN (Virtual Private Network)
Fonte: livro-texto
 As conexões LAN to LAN por meio da internet permitem que as organizações não 
necessitem mais de Frame Relay ou linhas privadas para conexões privadas. 
Além disso, garantem conexões seguras com empresas parceiras (extranet). 
Assim sendo, podemos listar algumas vantagens do uso da VPN.
 Menor custo (relativo à linha privada), mais de 50% redução.
 Solução escalável.
 Menor chance de falha.
 Facilidade de gerenciamento.
6.1 VPN (Virtual Private Network)
 Em algumas modalidades paga apenas o uso.
 Utiliza menos equipamentos.
 As VPNs podem ser usadas, portanto, para substituir ou ampliar redes privadas.
 Incluir novas aplicações sem interromper as atuais e inserir novas unidades. Os 
ganhos são maiores quanto mais geograficamente espalhada estiver a empresa.
 De qualquer forma, as VPNs não são recomendadas quando a performance não é 
tão vital ao negócio, para tráfego de voz, vídeo ou outro tráfego isócrono e 
quando existem aplicações não IP na rede que não podem ser tuneladas.
6.1 VPN (Virtual Private Network)
 O problema com as aplicações isócronas é que não existe controle de congestão 
e acesso. Além disso, a latência, jitter (variância da latência), perda de pacotes e 
vazão (especialmente em uma rede IP/Frame Relay) são muito grandes, o que 
afeta diretamente a qualidade do serviço. Outro ponto importantíssimo que deve 
ser observado é a segurança. 
6.1 VPN (Virtual Private Network)
É correto afirmar sobre o do uso das VPNs: 
a) Aumento da capacidade de transmissão de dados.
b) Melhora o desempenho da rede. 
c) Facilidade de gerenciamento. 
d) Aumenta os custos. 
e) Utiliza tecnologia desatualizada para acesso. 
Interatividade
É correto afirmar sobre o do uso das VPNs: 
a) Aumento da capacidade de transmissão de dados.
b) Melhora o desempenho da rede. 
c) Facilidade de gerenciamento. 
d) Aumenta os custos. 
e) Utiliza tecnologia desatualizada para acesso. 
Resposta 
Algumas características presentes na VPN são:
 Autenticação: identificar com quem se está comunicando.
 Tunelamento: encapsular dados roteados por meio da rede pública.
 Criptografia: garantir segurança.
As VPNs podem ser implementadas por hardware ou software. Todas as soluções 
de VPN envolvem a aplicação de diversos algoritmos e nenhum deles é 
interoperável.
6.1 VPN (Virtual Private Network)
 As vantagens da implementação por hardware incluem a velocidade, o uso de 
hardware criptográfico com chips dedicados, tornando a VPN muito rápida e não 
sobrecarrega a CPU de roteadores, firewalls ou gateways.
 Essas soluções são do tipo black box, ou seja, um hardware dedicado. Existem 
vários appliances com essa finalidade e vários fabricantes que fornecem esses 
tipos de soluções, como Cisco, Nortel Networks, Lucent, Sonicwall, entre outros.
6.1 VPN (Virtual Private Network)
 A implementação da VPN, usando a internet em que as vantagens da 
implementação por software, reside na fácil implementação, podendo ser 
massificada, updates e patches são de fácil distribuição por e-mail e web, o 
gerenciamento é centralizado, menor possibilidade de erros.
 A implantação por software depende muito do sistema operacional no qual vai 
estar instalado. Existem soluções de implementação de VPN usando sistema 
operacional Linux, com o FreeSwan e o Windows.
6.1 VPN (Virtual Private Network)
 A implementação da VPN usando a internet obriga pensarmos em segurança. Os 
mecanismos de autenticação (que permitam saber com quem estamos nos 
comunicando), de integridade (os dados não são alterados no trânsito) e de 
acesso (confiar que pessoas não desejadas não consigam acessar sistemas, 
softwares e dados) devem ser implementados.
Existem algumas maneiras de implementar uma VPN. Cada uma delas faz uso de 
diferentes protocolos em diferentes camadas do modelo OSI. Existem os seguintes 
tipos de configuração por protocolos:
6.1 VPN (Virtual Private Network)
 Camada 2 ou enlace: fazem parte desse grupo os protocolos L2TP (Layer 2 
Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol), L2F, além das 
VPNs criadas com o Frame Relay e o ATM.
 Camada 3 ou rede: fazem parte desse grupo os protocolos IPSec (Internet 
Protocol Security) e MPLS.
 Camada 4 a 7 – transporte e aplicação: são as VPNs formadas por protocolos que 
trabalham nas camadas de transporte a aplicação, a saber: o SSW TLS (Secure
Socket Layer~TransportL ayer Security), SNIME, SSH (Secure Shell).
6.1 VPN (Virtual Private Network)
 Apesar de tudo, é um dos tipos mais difundidos porque foi um dos primeiros 
protocolos disponíveis.
 Além de VPN ponto a ponto, faz fim a fim. Necessita de servidores Microsoft
para implementar os túneis e encapsula NetBEUI, IPX e AppleTalk.
 O protocolo PPTP possui algumas restrições comoo fato de especificar as 
técnicas de gerenciamento de chaves, proprietário, ou seja, tem que ser 
adquirido, não existe criptografia quando usado em acesso remoto e permite 
uma única conexão no túnel – solução para acesso remoto.
6.1 VPN (Virtual Private Network)
 O protocolo L2F (Layer 2 Forwarding) é um protocolo proprietário Cisco. Sua 
implementação baseou-se no uso do PPP como o PPTP para a autenticação do 
usuário. Dessa maneira, o L2F trabalha com RADIUS e TACACS+. Não suporta 
criptografia, entretanto é mais poderoso que o PPTP, pois permite várias 
conexões no mesmo túnel.
 L2TP (Layer 2 Tunneling Protocol) combina o protocolo Cisco Layer-Two
Forwarding L2F com PPTP, também é uma extensão do PPP. Só pode ser usado 
em VPN nó a nó devido à aplicação na camada de enlace. Para funcionar fim a 
fim, todos os nós da rede (roteadores) precisam suportar L2TP.
6.1 VPN (Virtual Private Network)
 O L2TP também funciona com redes baseadas em quadros como Frame Relay e 
X.25. Além disso, encapsula protocolos como NETBEUI, IPX e AppleTalk. A 
autenticação é garantida pelo PPP - PAP CHAP e suporta RADIUS e TACACS.
 O L2TP trabalha e interopera com IPSec, garantindo confidencialidade, 
com a criptografia, tornando-se a melhor solução para acesso remoto.
6.1 VPN (Virtual Private Network)
 DLCls. Em uma VPN Frame Relay não existe encriptação e, na verdade, não é 
necessário, pois o protocolo atua apenas na camada 2 do modelo OSI, sendo 
uma solução segura para o acesso. O Frame Relay é suportado para velocidades 
baixas. 
6.1 VPN (Virtual Private Network)
 VPN MPLS (Multi Protocol Label Switching) MPLS são uma novidade no mercado 
e prometem, além de uma infraestrutura de VPN segura, a garantia da qualidade 
de serviço, assegurando resolver os problemas como congestionamentos, atrasos 
e jitters encontrados nas VPNs tradicionais. Uma rede MPLS comuta pacotes 
baseados no Label e não no endereço IP. É flexível, pois não exige 
provisionamento complexo de PVC ou gestão dos túneis. Os problemas 
encontrados nas VPNs MPLS estão relacionados a não padronização e baixa 
interoperabilidade entre diferentes fabricantes (MORAES, 2010, p. 111). 
6.1 VPN (Virtual Private Network)
 A utilização de VPN com IPSEC também é uma tendência. O IPSec, segundo a 
RFC 2401, foi constituído para operar em um ambiente de estação do usuário 
como em gateway (roteador, concentrador etc.), garantindo a proteção para o 
tráfego IP. A proteção oferecida é baseada nas necessidades da política de 
segurança estabelecida e mantida pelo usuário ou administrador do sistema.
 O IPSec é um protocolo de tunelamento desenhado tanto para IPv4 como IPv6 e 
disponibiliza mecanismos de segurança fim a fim e criptografia na camada IP.
6.1 VPN (Virtual Private Network)
 Basicamente, os serviços são disponibilizados para integridade dos dados em que 
os pacotes são protegidos contra modificação acidental ou deliberada. 
Autenticação é onde a origem de um pacote IP é autenticada criptograficamente.
 Confidencialidade é onde a parte útil de um pacote IP ou o próprio pacote IP pode 
ser criptografado e Antirreplay é onde o tráfego IP é protegido por um número de 
sequência que pode ser usado pelo destino para prevenir ataques 
do tipo replay (repetir mesma sequência antes enviada).
6.1 VPN (Virtual Private Network)
 A associação de segurança é um acordo estabelecido entre os dois pontos da 
comunicação para negociação de parâmetros do túnel IPSec. Esse acordo deve 
ser estabelecido antes da criação do túnel IPSec. Entre os mesmos dois pontos 
podem existir múltiplas associações de segurança.
 As associações de segurança ficam armazenadas na SPD (Security Policy
Database) ou base de dados da política de segurança e SAD (Security 
Association Database). Cada associação de segurança possui seu identificador 
único identificado pelo SPI (Security Parameter Index).
6.1 VPN (Virtual Private Network)
Na associação de segurança são negociados os seguintes mecanismos de 
segurança:
 Modo do túnel IPSec: ESP ou AH;
 Algoritmo de criptografia;
 Método de autenticação;
 Função de hashing;
 Método de autenticação do usuário: RADIUS, SecurlD;
 Escolha das chaves criptográficas e chaves de autenticação.
6.1 VPN (Virtual Private Network)
As características principais presentes nas VPNs são: 
a) Autenticação, tunelamento e criptografia.
b) Autorização, acesso interno e criptografia. 
c) Acesso interno, gerenciamento e infraestrutura.
d) Aumento de custo, autenticação e criptografia. 
e) Autenticação, criptografia e infraestrutura.
Interatividade
As características principais presentes nas VPNs são: 
a) Autenticação, tunelamento e criptografia.
b) Autorização, acesso interno e criptografia. 
c) Acesso interno, gerenciamento e infraestrutura.
d) Aumento de custo, autenticação e criptografia. 
e) Autenticação, criptografia e infraestrutura.
Resposta 
 Um mecanismo básico de segregação de tráfego disponível na maioria dos 
switches é o uso de VLANs (Virtual LANs ou redes virtuais), que é 
extensivamente utilizado com o propósito de diminuir o impacto do tráfego de 
broadcast em redes de grande porte. Do ponto de vista de segurança, é possível 
utilizar essa mesma funcionalidade em duas situações bem comuns que serão 
analisadas a seguir. 
6.2 VLANs (Virtual LANs)
 VLAN – uso externo
6.2 VLANs (Virtual LANs)
Fonte: livro-texto
Internet Lan
 VLAN – uso interno
6.2 VLANs (Virtual LANs)
Fonte: livro-texto
Segundo Forouzan (2008), as principais vantagens da implantação das VLANs são: 
 Aumento de performance com a diminuição significativa de broadcast no tempo 
de resposta na rede, o que auxilia a disponibilidade das informações. 
 Facilidade de gerenciamento com o uso das VLANs, o processo de rede é 
simplificado, além de ser mais rápido, prático e eficiente no processo de 
configuração por meio das plataformas de gerenciamento, o que auxilia no 
aumento da confidencialidade das informações.
6.2 VLANs (Virtual LANs)
 Na topologia de rede independente, a disposição lógica da rede fica independente 
e segregada da topologia física, o que adiciona maior flexibilidade nas 
modificações dessa rede. 
 No aumento da segurança, o grande foco para nós é o ganho indiscutível na 
segurança, por meio de tudo que discorremos até aqui na separação que as 
VLANs proporcionam entre as redes e os usuários, possibilitando melhora no 
quesito confidencialidade e integridade das informações. 
 Nas configurações dos switchs modernos, nas chamadas multicamadas existe a 
possibilidade de desenvolver projetos de VLANs das mais variadas formas: 
6.2 VLANs (Virtual LANs)
6.2 VLANs (Virtual LANs)
Fonte: livro-texto
 De modo geral, todas as redes estão sujeitas à captura de informações por 
terceiros, caso esses estejam conectados à mesma rede cabeada por onde 
trafegam essas informações. Contudo, em um ambiente de rede cabeada, os 
acessos são mais controlados e torna-se mais fácil a detecção de um intruso no 
ambiente interno da empresa. Quando nos referimos às redes sem fio, devemos 
nos preocupar com a enorme facilidade do “furto” de informações, pois o intruso 
pode estar em qualquer local da área de abrangência coberta pelo sinal dos APs
(Access Points).
6.3 Segurança em redes sem fio/wireless
Diversos problemas de segurança estão associados ao uso dessas tecnologias, 
fazendo com que a proteção desse tipo de mídia seja atualmente um dos principais 
desafios relacionados à segurança em redes. Entre os principais se destacam:
 Interceptação de sinais: os sinais das redes wireless, muitas vezes, cobrem um 
perímetro físico maior que o inicialmente previsto.A captura desse sinal pode 
ainda ser potencializada com o uso de antenas, aumentando ainda mais o 
problema. Isso torna a localização dessas redes uma tarefa extremamente 
simples, aumentando a exposição aos problemas de segurança.
6.3 Segurança em redes sem fio/wireless
 Uso indevido: uma vez que o sinal pode vazar para um perímetro físico grande, 
pessoas em localidades vizinhas ou mesmo na rua podem acessar essa rede. 
Normalmente, elas o fazem com o propósito de acessar a internet de forma 
gratuita, usando indevidamente os links de comunicação de terceiros. São 
necessários mecanismos de autenticação e controle de acesso para impedir 
esse tipo de atividade. 
6.3 Segurança em redes sem fio/wireless
 Podemos destacar também o ataque de Sniffing, em que um usuário da rede 
wireless escuta e captura o tráfego que está passando por ela. 
 Os ataques de DoS destinado a negar os serviços da rede wireless, em que o 
cracker gera interferências na faixa de frequência da rede wireless para derrubar 
o serviço. 
 Ataques do tipo Rogue Acess point, em que o cracker adiciona um access point 
falso na rede e os usuários, por não saber, conectam-se a ele, pensando ser a 
rede desejada, ataque muito comum em redes públicas. 
6.3 Segurança em redes sem fio/wireless
 Os ataques de Wardriving ou Warchalking consistem em dirigir ou andar pela 
cidade e fazer acesso à rede sem fio. A instalação default de placa de rede já 
permite o acesso à rede sem fio. Quando isso ocorre, o cracker já está em rede, 
ou seja, ludibriando o firewall. Por diversas vezes não é necessário estar 
próximos da rede invadida. Existem relatos de ataques a redes com distância de 
até 8 km. 
6.3 Segurança em redes sem fio/wireless
 A confidencialidade, integridade e disponibilidade: Além dos problemas anteriores, 
existem preocupações com o sigilo e a integridade dos dados que trafegam por 
estas redes, devido à grande exposição. Por isso, é necessária a utilização de 
mecanismos que garantam a segurança das informações que trafegam por elas.
 Até hoje, a maioria dos mecanismos projetados para serem utilizados no próprio 
padrão 802.11 se mostrou ineficiente. Além disso, por usarem tecnologias de 
transmissão via rádio.
6.3 Segurança em redes sem fio/wireless
 Criptografia para redes sem fio: WEP, WPA, WPA2 e WPA3.
 Protegendo a rede sem fio.
6.3 Segurança em redes sem fio/wireless
Fonte: livro-texto
Por que as redes sem fio são mais suscetíveis a ataques?
a) O intruso pode estar em qualquer local da área de abrangência coberta pelo 
sinal dos APs (Access Points). 
b) O intruso tem menor liberdade de atuação em redes. 
c) Devido ao excesso de falhas que as redes sem fio apresentam no controle de 
acesso. 
d) Os protocolos de acesso não são seguros.
e) Utilizam tecnologia desatualizada para acesso. 
Interatividade
Por que as redes sem fio são mais suscetíveis a ataques?
a) O intruso pode estar em qualquer local da área de abrangência coberta pelo 
sinal dos APs (Access Points). 
b) O intruso tem menor liberdade de atuação em redes. 
c) Devido ao excesso de falhas que as redes sem fio apresentam no controle de 
acesso. 
d) Os protocolos de acesso não são seguros.
e) Utilizam tecnologia desatualizada para acesso. 
Resposta 
O protocolo IPSec (IP Security), que foi projetado para garantir funcionalidades de 
segurança (confidencialidade, integridade e autenticação) ao protocolo IP, trabalha 
como um protocolo à parte no TPv4 e como parte nativa da especificação do 
protocolo IPv6. Enquanto no SSL/TLS há apenas a proteção para protocolos que 
utilizem a comunicação via TCP, no IPSec pode-se prover segurança para qualquer 
protocolo que vá encapsulado diretamente em cima do IP, ou seja, praticamente 
todos os utilizados na internet. As especificações preveem dois modos de operação:
6.4 IP Security (IPSec)
 Tunnel mode: nesse modo, todo o pacote original a ser codificado, incluindo a 
própria porção IP, é cifrado e colocado dentro de um novo pacote TP. Dessa 
forma, até mesmo informações sobre quais são as pontas da comunicação são 
escondidas. Esse método, por manter mais informações em segredo, é 
considerado mais seguro na maioria dos casos. Como mais informações são 
codificadas, ele é ligeiramente mais lento e como um novo pacote é criado, 
colocando-se dentro o pacote original, o consumo de banda é maior.
6.4 IP Security (IPSec)
 Transport mode: esse modo é destinado para a comunicação máquina a máquina. 
Nesse caso, a codificação da porção IP do pacote não traz ganhos de segurança.
A estrutura do IPSec é composta por dois protocolos:
 AH (Authentication Header): esse protocolo provê os serviços de integridade e 
autenticação, porém os dados não são codificados. Serve para situações onde há 
a necessidade de confirmar a origem do tráfego e ter garantias de que ele não foi 
alterado, sem que haja a necessidade de sigilo.
6.4 IP Security (IPSec)
6.4 IP Security (IPSec)
Fonte: livro-texto
 ESP (Encapsulating Security Payload): além das funcionalidades presentes no 
AH, ele possui também confidencialidade, sendo o protocolo mais usado.
 As conexões IPSec são estabelecidas por meio de SAs (Segurity Associations), 
que representam uma conexão lógica entre as duas máquinas que estão se 
comunicando e são unidirecionais. Portanto, para a maioria dos casos, uma 
comunicação bidirecional entre duas máquinas requer duas SAs, que contêm:
6.4 IP Security (IPSec)
6.4 IP Security (IPSec)
Fonte: livro-texto
As conexões IPSec são estabelecidas por meio de SAs (Segurity Associations), 
que representam uma conexão lógica entre as duas máquinas que estão se 
comunicando e são unidirecionais. Portanto, para a maioria dos casos, uma 
comunicação bidirecional entre duas máquinas requer duas SAs, que contêm :
 SPI (Security Parameter Index): parâmetro utilizado para identificar de forma 
única duas SAs que porventura tenham os mesmos parâmetros de TP 
de destino e protocolo.
6.4 IP Security (IPSec)
 IP de destino: identifica qual o endereço de destino pode ser atingido por meio 
dessa conexão IPSec.
 Protocolo: identifica o tipo de protocolo presente na associação – ESP ou AH.
 Como uma SA é criada também para cada protocolo, caso ambos sejam 
aplicados no mesmo pacote – situação rara, mas possível em alguns casos 
específicos. São necessárias duas por protocolo, além de um para cada direção, 
caso a comunicação seja bidirecional.
6.4 IP Security (IPSec)
 Para que uma comunicação IPSec possa ser estabelecida, ambas as máquinas 
precisam ter previamente acordado alguns parâmetros, como o algoritmo que 
será usado para a criptografia dos dados, a função hash que será utilizada para a 
integridade e a chave que será utilizada para a codificação, além de parâmetros 
como modo de funcionamento e protocolo vistos anteriormente. Além disso, como 
o algoritmo que codifica os dados é do tipo simétrico, convém que a chave 
utilizada no processo seja trocada de tempos em tempos.
6.4 IP Security (IPSec)
 O IPSec nativamente não possui suporte para fazer nenhuma dessas operações 
sozinho, mas ele conta com um outro protocolo, chamado IKE (Internet Key 
Exchange) para a tarefa. Além disso, esse protocolo possui ainda mecanismos de 
autenticação e negocia outros parâmetros, como de quanto em quanto tempo as 
chaves criptográficas utilizadas para a codificação dos dados serão trocadas.
6.4 IP Security (IPSec)
Por que quando falamos em segurança na estrutura do IPSec o protocolo ESP 
(Encapsulating Security Payload) é mais utilizado? 
a) Tem menor custo. 
b) É mais fácil de configurar. 
c) Não apresenta falhas. 
d) Possui também confidencialidade.e) É mais legítimo. 
Interatividade
Por que quando falamos em segurança na estrutura do IPSec o protocolo ESP 
(Encapsulating Security Payload) é mais utilizado? 
a) Tem menor custo. 
b) É mais fácil de configurar. 
c) Não apresenta falhas. 
d) Possui também confidencialidade. 
e) É mais legítimo. 
Resposta 
ATÉ A PRÓXIMA!