SegurancaRedes

Prévia do material em texto

Pilares de Segurança 
• Confidencialidade – ninguém sabe o que está sendo transmitido 
• Integridade – os dados da origem chegam inteiros ao destino, sem alterações 
• Disponibilidade – está disponível para acesso o máximo de tempo possível 
• Autenticidade – confiar que a origem é quem diz ser que é (certificado digital) 
• Não-repúdio – não poder dizer “não fui eu!”, pois há como saber quem faz/fez o quê. 
Ameaças 
• Ataques 
o Sniffing (interceptação de tráfego) 
▪ Primeiramente, é necessário poder ativar o “modo promíscuo” de uma 
placa de rede. Nem todas possuem essa função e é sempre necessário 
ter permissões de ADM 
▪ Este modo de funcionamento permite que a placa de rede receba 
todos os pacotes que nela chegam (normalmente se descarta), não só 
os destinados a ela. 
▪ Sniffing não gera tráfego 
▪ Switches fazem unicast, impossibilitando o sniffing (obviamente há 
formas de reverter isso) 
o SPAM Port 
o Port Mirror 
o ARP Poisoning 
o Cache Poisoning (estourar a memória do switch, 
forçando funcionamento broadcast) 
▪ WiFi trabalha com broadcast, facilitando o sniffing 
▪ É necessário estar conectado à rede 
o Spoofing (falsificação) 
▪ Primeiro se mapeia a rede, descobrindo quem está lá. Quais sistemas 
usam. Quais portas estão abertas... 
▪ Não há necessidade de estar conectado à rede 
▪ ncat -lk -p xxxxx (abrir a porta xxxxxx) (Listen Keep – lk // Port - p) 
▪ ncat yyy.yyy.yyy.yyy xxxxx (conecta-se a porta x no IP y) 
▪ nmap xxx.xxx.xxx.xxx (mapear a máquina com IP x) 
 
o DoS/DDoS 
▪ DoS 
• Denial of Service 
o Ataque com uma só origem 
o SYN Flood 
o Ping of Death 
o Etc... 
▪ DDoS 
• Ataque com diversas origens 
o Um (ou mais, geralmente um só mesmo) cracker possui 
diversas máquinas inofensivas 
o A invasão não faz (normalmente) nada, pois é do 
interesse do cracker manter sua máquina funcionando 
perfeitamente sem ser detectado 
o A soma de dezenas, ou centenas, dessas máquinas se 
chama BOTNET 
o O cracker, então, ativa todas estas máquinas ao 
mesmo tempo para atacar um alvo (ou aluga para 
terceiros) 
Criptografia Simétrica 
• Existe uma única chave, usada por todos que a conhecem 
• É definida (geralmente) pelo administrador (uma senha de WiFi, por exemplo) 
• Técnica de criptografia simétrica 
o Substituição 
o Transposição 
o Combinação (Subs + Transp) 
 
Criptografia Assimétrica 
• Cada participante possui 2 chaves: Pública e Privada 
• O par de chaves é relacionado matematicamente, não são aleatórias. 
• Chave Pública: De conhecimento geral, compartilhada com todos. 
• Chave Privada: mantém-se em segredo com o usuário. 
• "Chaveiro": Servidor (público, duh) de chaves públicas 
A->B 
• A usa a *chave pública de B* para criptografar a mensagem 
• B usa sua chave privada + *sua* chave pública para decifrar a mensagem vinda de A 
A<-B 
• B usa a *chave pública de A* para criptografar a mensagem 
• A usa chave privada + *sua* chave pública para decifrar a mensagem vinda de B 
Garante a CONFIDENCIALIDADE da mensagem, mas não a AUTENTICIDADE. 
Algoritmos: RSA, DSA, Elgamal 
 
HASH 
• Garante integridade 
• Determina uma série de dígitos hexadecimais que garantem que o arquivo não foi 
alterado 
• Toda hash possui o mesmo tamanho, seja o arquivo com 1G ou 1bit 
• Qualquer alteração no arquivo gera uma HASH nova, ou seja: se você sabe a hash do 
arquivo original e, quando o recebe, ela não está igual, há garantia que houve alguma 
alteração. 
• HASH é um caminho único. Depois de feita não há como desfazer. HASH não é 
criptografia. 
 
Assinatura Digital 
• Garante a autenticidade do EMISSOR 
• Não existe criptografia na assinatura digital 
Algoritmo: RSA 
 
Firewall 
• É um sistema ou grupo de sistemas que impõe uma política de controle de acesso para 
o tráfego que entra ou sai de uma rede ou máquina. 
 
Funcionalidade mínima 
• Filtragem de pacotes 
 
Firewall pessoal 
• Dentro do próprio pc, há um firewall 
 
Firewall de rede (gateway simples) 
• No roteador de borda, há um firewall 
 
Pode haver um bastião (única máquina com internet) na rede interna 
Lan <----> bastião <----> Router <-----> Internet 
 
Com o NAT, não é possível acessar as máquinas de rede interna. 
Assim, você põe uma regra que: Quando acessar remotamente a interface do roteador, por 
uma porta X, se dá acesso ao bastião. O bastião tem algum tipo de autenticação, daí é possível 
acessar a rede interna. 
 
É possível ir mais além e isolar um bastião entre dois roteadores, de forma que, mesmo que 
ele falhe, um atacante não consiga comprometer a rede interna (DMZ) 
Lan <----> R <--> bastião <--> R <-----> Internet 
Lan <----> R <--> bastião + HTTP + DNS <--> R <-----> Internet 
 
IPTables 
• Input: Todo tráfego direcionado à máquina 
• Output: Todo tráfego que sai da máquina 
• Forward: O tráfego passa de uma interface para a outra 
<-Out-- PC <-IN-- 
<--FW--> 
man iptables 
iptables [-t tabela] [opção] [chain (forward,I/O)] [dados] -j [ação] 
• -P -- policy -- altera política de uma chain 
• -A -- append -- adicionar uma regra em uma chain 
• -D -- delete -- apagar uma regra. A regra deve ser escrita por inteiro 
• -L -- list -- lista as regras 
• -F -- flush -- remove todas as regras, mas não as -P 
• -s -- source -- estabelece origem do pacote 
• -d -- destination -- estabelece o destino do pacote 
• -p -- protocol -- especifica o protocolo a ser filtrado (num ou nome) 
• -i -- In-Interface -- Interface de entrada. não pode ser usado com OUTPUT 
• -o -- Out-Interface -- Igual à -i, não pode ser usado com INPUT 
• ! -- exclusão -- -p ! tcp (exemplo) 
• -sport -- Source Port -- Porta de Origem. Apenas -p udp e -p tcp 
• -dport -- Destination Port -- Porta de destino, -p udp e -p tcp 
• ACCEPT -- Aceitar 
• DROP -- Abandonar 
• REJECT -- DROP, porém avisa a origem sobre o ocorrido 
• LOG - cria log referente à regra /var/log/messages 
• iptables-save > arquivo 
• iptables-restore < arquivo 
 
As regras são interpretadas na ordem que aparecerem. Quando um pacote se encaixar em 
uma, ele será processado e o iptables será finalizado. 
-j LOG continuará atuando. 
IDS – Intrusion Detect System 
• Meios técnicos de descobrir, em uma rede, acessos não autorizados. 
• NIDS 
o IDS para monitoramento de uma rede, com capacidade de tomada de decisão 
• HIDS 
o IDS que atua no sistema operacional em um computador, analisando 
processos, programas, conexões, sem ter visão geral da rede 
IPS – Intrusion Prevention System 
• Abordagem preventiva de segurança, que funciona na identificação de ameaças e 
resposta rápida a qualquer tipo de ataque 
IDS e IPS tem propósitos diferentes, porém usam tecnologias semelhantes. IDS pode explicar 
um ataque, enquanto o IPS interrompe-os 
 
Certificado Digital 
• Associa a identificação de uma pessoa, ou organização, à sua chave pública. Garante 
que a chave pública encontrada em um chaveiro pertence a quem diz pertencer. 
• Informações em um certificado digital: 
o ID da pessoa ou ORG 
o Chave pública 
o Data de expiração 
o Assinatura da Autoridade Certificadora (CA) 
 
VPN – Virtual Private Network 
• Redes privadas construídas sobre redes públicas 
• Cria uma conexão segura, um túnel entre o computador e o servidor de VPN 
• Exemplos de protocolo: 
o L2TP 
o PPTP 
o Open VPN 
o L2F 
o IPSEC 
 
IPSEC 
• AH 
o Authentication Header: Prove autenticação e integridade dos dados 
• ESP 
o Encapsulated Security: Provê autenticação, confidencialidade e integridade 
Tipos de VPN 
• Host to Host 
o Tunel entre dois hosts para a transferência segura de dados. Existe 
autenticação entre as duas partes antes da transmissão 
• Site to Site 
o Tunel entre dois Gateways. O gateway da filial remota negocia conexão com o 
gateway da rede matriz e estabelece um túnel seguro entre eles