AV1 Estudar

Prévia do material em texto

Aspectos de segurança 
 
Confidencialidade : Capacidade de limitar o acesso à informação apenas por entidades 
autorizadas ( pessoas, maquinas ,processos e etc ) 
 
Autenticidade : Capacidade de garantir que um determinada entidade é quem afirma 
ser 
 
Integridade : Garantir a integridade das informações transitadas na rede ou 
armazenada. 
 
Controle de Acesso : Capacidade de impedir acesso não autorizada a um determinado 
recurso ou limita o acesso 
 
Não Repudio : Capacidade de impedir que uma entidade envolvida em uma transação 
negue sua participação ( Total ou Parcial ) 
 
Disponibilidade : Capacidade de garantir de garantir os recursos mesmos na 
sequencias de ataques. 
 
Regras de uma boa politica de segurança 
Ser de fácil acesso aos membros da organização 
Definir claramente os objetivos de segurança 
Definir objetivamente todos os aspectos abordados 
Definir claramente a posição da organização em cada questão 
Justificar as opções tomadas 
Definir claramente as circunstâncias em que é aplicadas cada uma das regras de 
segurança 
Definir os papéis de cada elemento na organização 
Definir claramente as consequências do não cumprimento das regras definidas 
Fornecer contatos para esclarecer questões duvidosas 
Definir o nível de privacidade garantida do usuário 
Definir o tratamento das situações de omissão 
 
Medidas que podem ser implementada para os problemas abaixo, exemplos : 
 
confidencialidade Mecanismos de encriptação na comunicação 
Procedimentos mais restritivos na utilização do 
netbios 
Autenticação 
 
Reforço nos mecanismos de autenticação (NT) 
Utilização de mecanismos de autenticação como 
por exemplo Assinaturas Digitais 
Autenticação por Biometria 
Integridade Implementação de mecanismos de controle de 
integridade Criptografia. 
Vigilância central de anti-vírus 
Implementação de mecanismos de controle de 
integridade no FTP e páginas WWW. 
Controle de Acesso 
 
Equipe de segurança para o acesso físico ao local 
Mecanismos de encriptação de senhas e 
usernames. 
Implantação de CFTV nas áreas comuns do local. 
Não Repudio Utilização de Assinaturas Digitais 
 
Redundância Implementar sistemas anti-fogo 
Redundância de equipamentos e links, e de 
arquivos aplicativos também. 
Backups 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Segurança no meio físico e na camada física 
 
Formas de ataque : 
Escuta ( snooping) por derivação do meio físico (wire tapping ) 
 por derivação dos conectores 
 por leitura da interferência eletromagnética 
 por escuta do espectro radio-elétrico 
 
Bloqueio ( Interrupção) Corte no meio físico 
 Através da interferência eletromagnética 
 Através de obstáculos 
 
Desvio ( hijacking) Desvio da ligação para outro equipamento emissor/receptor 
 
 Pode ter 2 objetivos : 
 Se fazer passar por outra pessoa impersonificação, assim 
 acessando as informações; 
 Acessar os recursos de comunicação; 
 
 
Técnicas e mecanismos de segurança 
em Projeto : 
Fibra Optica garante mais segurança 
Topologia Estrela ou Arvore, comutação (Switch) 
Proteção Física do meio de comunicação 
em Projeto : 
Tubulação e calhas embutidas ou enterradas 
Bastidores e caixas de derivação com fechadura de segurança 
Zonas térmicas com acesso restrito ou reservado 
Redundância nas ligações do meio físico 
em Projeto : 
Redundância nos backbones da Lan 
Utilização de percursos diferentes na ligações de redundância 
 
 
 
 
Na Transmissão : 
Codificação da transmissão 
Mecanismo de embaralhamento ( Scrambling ) 
Mecanismos de salto de frequência ( frequency hopping ) 
Autenticação do emissor e do receptor (exemplo: Call Back,Smart Card,id unico ) 
 
 
Gerencia e Manutenção de Rotina 
Gerencia das Ligações - 
 
Registros das novas ligações à redes 
Desativação das ligações inativas 
Inventario dos equipamentos ligados 
Logs dos tempos ligados 
 
 
Controle físico dos acessos 
Registros das ações de instalação e configuração da rede 
Vigilância das salas técnicas por CFTV 
 
 
Inspeção periódicas 
Estado dos cabos 
Aos circuitos de ligação ao exterior 
 
 
Auditória 
Inspeção visual 
Medições 
Analise dos registros 
 
 
 
 
 
 
 
 
 
Camada de Enlace ( Ligação Logica ) 
 
Tecnologias de ligações logicas mais representativas : 
Redes locais 
Ligações comutadas 
Ligações dedicadas 
Frame Relay 
ATM 
Formas de ataque ( Enlace) : 
 
Escuta ( snooping) Ataque a confidencialidade 
Leitura e decodificação da informação em transito 
 
Vulnerabilidade Muito fácil em modo partilhado (HUB) 
Software de sniffer disponível em toda parte 
Dificil no meio comutado, 
É necessário fazer um derivação com um hub no meio físico. 
 
Proteção 
 
 
Preferencia por redes comutadas maior segurança e 
desempenho 
Detecção e isolamento da interfaces em modo promíscuo 
Alguns equipamentos tem a opção de isolar as redes por 
Vlans 
Controle de acesso a rede 
Controle de ligação de máquinas na rede 
Controle de acesso fisico aos equipamentos Servidor e 
Comutadores e zonas de backbones 
Monitoração e Auditória 
Detecção de padrões anormais de trafego 
Detecção de atividade de sniffers 
 
 
Bloqueio 
( Interrupção) 
Ataque a disponibilidade 
Perturbação no funcionamento dos protocolos capaz de 
prover corte da ligação 
 
Vulnerabilidade É fácil introduzir uma perturbação no protocolo 
Mais difícil em modo comutado 
Ligações de backbones são sensíveis 
Ligação aos servidores são sensíveis 
 
Proteção 
 
 
Tecnologia por comutação 
Escolha de equipamento com isolamento de máquina 
“mal comportada” 
Monitorização e Auditoria 
 
 
Desvio 
( hijacking ou 
fabricação) 
Ataque a autenticidade 
Impersonificação para acesso a informação ou 
recursos não autorizados 
 
Vulnerabilidade Por ataque ao ARP 
Resposta falsa a um request ARP 
Por alteração do MAC (MAC Spoofing) 
Há placas de permitem altera o endereço MAC 
Quando há controle de acesso pelo MAC 
( Usado no DHCP como opção) 
 
Proteção 
 
 
Não há grandes soluções para ataque ARP 
Necessária autenticação nas camadas superiores 
Autenticação DHCP com base no endereço MAC 
Não resiste a MAC Spoofing 
 
Monitorização e Auditoria 
 
 
Modificação 
( man in the middle ) 
Ataque a Integridade 
Ataque a Confidencialidade da informação 
Interceptação da ligação e alteração da informação em 
transito 
 
Vulnerabilidade Não é muito vulgar esse tipo de ataque 
Muito difícil em modo partilhado 
Possível em modo comutado por ataques as bridges e ou 
aos switchs 
 
Proteção Controle de acesso aos equipamentos da rede,como 
switchs e bridges 
Controle de acesso remoto com password 
Controle de acesso físico 
 
Monitorização e Auditoria 
 
 
 
 
 
 
 
 
 
 
 
Protocolos de Segurança Usados na Camada de Ligação Logica ( Enlace ) 
Função : 
 
Autenticação 
Encriptação 
 
Protocolos de Encriptação : 
ECP ( PPP Encryption Control Protocol ) 
DESE ( PPP DESE Encryption Control Protocol ) 
Encriptação associadas aos túneis L2TP e ao IPSec 
 
Protocolos de Autenticação : 
PAP ( Password Authentication Protocol) 
CHAP ( Challenge-Handshake Authentication Protocol ) 
RADIUS ( Remote Dial-In User Service ) 
 
PAP um protocolo de autenticação por senha 
O PAP é utilizado por protocolos Point to Point para validar os usuários antes de 
permitir acesso aos recursos do servidor. 
Quase todos os sistemas operacionais de redes em servidores remotos suportam 
Autenticação simples, pouco usada 
por identificação / password 
password não encriptado 
nível de segurança semelhante a de login remoto 
 
 
 
 
 
 
 
 
 
CHAP é amplamente utilizado para suporta o método de autenticação no qual uma 
representação da senha do usuário (ao invés da senha) é enviada durante o processo 
 
Bastante usada em organizações de pequena dimensões 
Autenticação forte baseada numa troca challenge / response entre cliente e o 
NAS ( Servidor de Acesso da Rede ) 
Não há senhas passeando na linha 
 
O cliente o NAS partilham um “segredo” 
O cliente envia ao NAS um challenge “Desafio” que é um número aleatório 
O NAS calcula um resposta ao challenge aplicando uma função HASH (função 
irreversível) ao par segredo. 
O NAS envia a resposta ao cliente. 
Metodo Challenge / Response 
 
O cliente repete o calculo e confirma o resultado 
A autenticação pode ser bidirecional 
A autenticação pode ser repetida várias vezes 
Como a função Hash é normalmente usado no algoritmo MD5 ( Message Digest ), 
embora possa ser negociado u, algoritmo diferente. 
 
 
Remote Authentication Dial In User Server ( RADIUS ) 
É um protocolo de rede que prove de forma centralizada autenticação ,autorização e 
contabilização no processo de gerenciar computadores que estão se conectando e 
usando um determinado serviço de rede. 
Usado em organizações de grande dimensão ( ISPS por exemplo) 
Permite autenticação centralizada com múltiplos POP 
O Servidor RADIUS pode dialogar com outros servidores para fazer a autenticação 
( atuar como proxy de autenticação ) 
 
RADIUS é um protocolo do tipo cliente/servidor que roda como protocolo da 
camada de aplicação e usa o UDP como apoio. 
Servidores remotos (RAS), Servidores de redes privadas (VPN´s) e Servidores de 
acesso de rede (NAS) e todos os Gateways possuem um componente cliente do 
protocolo RADIUS que se comunica com o Servidor RADIUS 
 
03 Funções Basicas : 
 
Autentica o usuário/dispositivo antes da concessão de acesso a rede. 
Autorização de outros usuários/dispositivos a usar determinados serviços da 
rede 
Para informar o uso de outros serviços. 
 
Funcionamento do RADIUS 
 
1 O usuário envia ao NAS (cliente RADIUS) informação de login (username e 
password) 
 
 
2 O NAS envia ao servidor RADIUS um pacote “acess request” contendo uma chave 
secreta partilhada entre os dois sistemas; 
 
3 O servidor RADIUS envia ao NAS um pacote “acess challenge” contendo 
informações que é usada para interrogar o usuário 
 
4 No dialogo entre o usuário e o NAS pode ser usado o PAP ou CHAP 
 
5 O usuário responde ao pedido de informação 
 
6 Após obtenção de resposta da parte do usuário, o NAS envia novamente um pacote “ 
acess request” ao servidor RADIUS contenddo informação sobre o usuário (atribuitos) 
 
7 O servidor RADIUS verifica os elementos recebidos e envia um 
pacote “acess accept / reject” autorizando/negando a ligação. 
 
 
 
 
 
 
 
 
 
 
 
 
Ligações Comutadas 
 
Ataques Vulnerabilidade Proteção 
 
 Esculta (Snooping) 
Relativamente Facil 
ligações normalmente não 
encriptadas 
Pode ser Feito do POP 
Uso de encriptação 
Bloqueio Bastante sensível 
Ataques aos servidores por 
DoS ao canais disponíveis 
no POP 
Sobre dimensionamento 
dos canais 
Time out nas ligações 
Monitoração das tentativas 
de acesso 
Desvio ( Hijacking) É relativamente fácil com 
PAP 
Mais difícil com o CHAP E 
RADIUS 
Autenticação C}HAP e 
RADIUS 
Modificação 
 (man in the middle) 
É relativamente fácil com 
PAP 
Pode ser feita no POP ou 
por ataque ao meio fisico 
Bastante mais difícil com o 
CHAP e RADIUS 
Encriptação 
Métodos de autenticação 
segura CHAP e RADIUS