Protocolos de Comunicação e Segurança na Internet

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Conceito
Principal protocolo de comunicação da Internet;
Endereço e encaminhamento de pacotes;
Modelo OSI;
TCP/IP;
Funcionamento
A descoberta do caminho é feita automaticamente a partir de roteadores, por meio dos protocolos de roteamento ( RIP, BGP, OSPF ) ;
IP Address
Endereço lógico;
Conjunto único de números que identifica seu computador, de forma que ele possa enviar e receber dados com outros computadores;
Endereço IP Dinâmico: Atribuídos temporariamente a cada vez que o computador se conecta a uma rede;
Endereço IP Estático: Fixos e não mudam;
Cabeçalho IP
Cabeçalho IP
Versão: Contém o número da versão ( IPV4 ou IPV6);
HL: Trata-se do número de palavras de 32 bits que constitua o cabeçalho
TOS: Especifica o tratamento que o datagrama deve receber dos roteadores durante seu percurso
Identificação: Valor designado pelo emissor usado na remontagem dos datagramas no destino.
TTL: Usado para controlar o tempo de existência do datagrama.
Protocolo: Identifica o protocolo inserido no próximo nível, conforme especificados na RFC 790.
Comprimento Total: Especifica o tamanho do datagrama, considerando o cabeçalho IP mais a área de dados.
OffSet: Na montagem da mensagem, indica a posição dos dados do datagrama
CheckSum: Usado para verificação de erros no cabeçalho IP. Não serve para verificar erros nos dados.
Endereço de Origem: Contém o endereço lógico do remetente
Endereço de Destino: Contém o endereço lógico do  destino
Opções: De tamano variável, é um campo não obrigatório, usado primariamente para testes e debugs. Normalmente não é utilizado.
IPV4
Composta de Octetos;
Constituído de 32 bits;
0 a 255;
4.000.000.000 de endereços disponíveis;
Mascara de Rede
É uma sequência de números que define a qual rede o computador pertence.
 Na máscara de rede, os bits correspondentes ao endereço da rede possuem o valor 1 e os bits do endereço do nó valem 0. 
IPV6
Composto de oito sequências de até quatro caracteres separado por ':'
Constituido de 128 bits;
340.282.366.920.938.463.463.374.607.431.768.211.456  de endereços disponíveis;
Versão: Identifica a versão do protocolo utilizado.
Classe de tráfego: Identifica os pacotes por classes de serviços ou prioridade.
Identificador de Fluxo: Identifica pacotes do mesmo fluxo de comunicação.
Tamanho dos dados: Indica o tamanho, em Bytes, apenas dos dados enviados junto ao cabeçalho IPv6.
Próximo Cabeçalho: Identifica o cabeçalho de extensão que segue o atual.
Limite de Encaminhamento: Esse campo é decrementado a cada salto de roteamento e indica o número máximo de roteadores pelos quais o pacote pode passar antes de ser descartado.
Cabeçalho IPV6
IpSec
Conceito
Plataforma formada por um conjunto de protocolos que fornecem os seguintes serviços de segurança:
Controle de acesso;
Integridade dos dados (pacotes);
Autenticação do host origem;
Privacidade nos dados (pacotes);
Privacidade no fluxo dos dados (pacotes);
Reenvio de pacotes;
Back-End
Área onde o usuário não possui acesso;
Por ser uma plataforma aberta, o IPSec permite a adição de outros algoritmos de criptografia.
Nativamente possui: 
MD5
SHA1
DES-CBC
A RFC que trata a organização e o relacionamento dos diversos componentes desse protocolo a organiza modularmente
Back-End
Arquitetura: Conceitos, mecanismos, requisitos e definições definidos pelo IPSec;
Encapsulamento seguro de Payload: Controla a formatação dos pacotes IP, no que se diz respeito à criptografia;
Autenticação de cabeçalho: Controla a formatação dos pacotes IP, no que se diz respeito à autenticação;
Algoritmos de criptografia: Define os algoritmos de criptografia a serem utilizados pelo IPSec;
Gerência de chaves: Controle dos mecanismos de gerência de chaves utilizados pelo IPSec;
Domínio de interpretação: Valores pelos quais os itens se comunicam, ou seja, qual o objetivo de determinada criptografia/autenticação.
VPN
Rede privada construída sobre a infraestrutura de uma rede pública;
Utiliza-se a infraestrutura da internet para conectar redes distantes e remotas;
É possível aumentar consideravelmente a confidencialidade dos dados que trafegam pela rede;
Dependência da velocidade da Internet disponível;
Para se criar uma rede VPN é necessário ter pelo menos dois computadores conectados à internet, além de um programa de gerenciamento de rede VPN instalado em cada máquina;
 É possível criar uma rede em que o receptor e o remetente sejam hosts que interligam entre si várias máquinas;
VPN
Front-End
IPSec é baseado em um modelo ponto-a-ponto (P2P)
Grande proteção a ataques feitos à uma rede, seja privada ou não
Política de proteção à captura de dados.
O IPSec não é de complexa configuração
Apenas os Hosts destino e origem deve “conversar” IPSec, todos os hops da rede apenas encaminharão o pacote IP ao seu destino.
IPSEC-AH
Tem por objetivo adicionar autenticação e integridade, garantindo a autenticidade do pacote e também que este não foi alterado durante a transmissão por algum eventual atacante.
Modo Túnel;
Modo Transporte;
Vantagens de prevenir ataques dos seguintes tipos:
Replay;
Connection Hijacking;
Spoofing;
IPSEC-ESP
Tem por objetivo adicionar autenticação e confidencialidade, a fim de garantir que somente os destinatários autorizados possam acesso ao conteúdo do pacote.
Modo Transporte;
Modo Túnel;
Vantagens de prevenir ataques dos seguintes tipos:
Replay;
Particionamento de pacotes cifrados;
Sniffer;
ARP
Conceito
Protocolo de pergunta e resposta utilizado para mapear dinamicamente endereços da camada 3 (rede) com a camada 2 (enlace);
Utilizado para mapear endereços IPs (InternetProtocol) em endereços MAC (Media Access Control);
Para controlar esse mapeamento, o protocolo ARP mantém uma tabela chamada ARP Table;
O protocolo ARP foi originalmente definido pela RFC 826;
Funcionamento
Cabeçalho ARP
Cabeçalho ARP
Tipo de Hardware: permite guardar um número que define qual o tipo do equipamento daquele pacote;
Tipo de Protocolo: armazena o tipo do protocolo ao qual será mapeado o endereço de equipamento (hardware);
Tamanho endereço Hardware: como o tipo de hardware varia, o tamanho necessário para armazenar o endereço desse hardware também;
Tamanho Endereço Protocolo: com a variação do tipo de protocolo, variamos também o tamanho do endereço do protocolo;
Opções: esse campo define o tipo do pacote ARP. Ele pode ser um pacote de requisição (request) ou de resposta (response);
Endereço de hardware de origem:   Esse campo recebe o endereço do equipamento de quem está enviando o pacote;
Endereço de protocolo de origem:   Esse é o endereço do protocolo de origem;
Endereço de hardware de destino:  Esse campo é reservado para receber o endereço do equipamento de destino;
Endereço de protocolo de destino: Esse é o endereço do protocolo de destino;
Sondagem ARP
Para enviar pacotes de sonda, é necessário montar um pacote ARP onde o IP de destino é o endereço desejado e o IP de origem deve ser composto por zeros;
A sondagem ARP acontece quando um computador recebe um endereço IP, manualmente ou via DHCP, para verificar se outra máquina na rede já possui esse IP. A RFC 5227 especifica essa sondagem;
 ARP Inverso (INARP)
Ele descobre o endereço de protocolo (IP por exemplo) a partir do endereço de hardware (Ethernet por exemplo);
É uma extensão do protocolo ARP que permite fazer o caminho inverso do ARP padrão;
Para permitir isso, ele utiliza o mesmo frame ARP mas com novos códigos de operação: 8 e 9, InARP request e InARP response, respectivamente;
O ARP Inverso não utiliza broadcast, pois o endereço de hardware de destino já é conhecido;
 ARP Spoofing
O Poisoning (envenenamento) acontece quando um atacante dispara mensagens ARP na rede dizendo que o computador dele responde pelo endereço IP de alguma outra máquina na rede, o default gateway,
por exemplo. 
É uma técnica de ataque utilizando protocolo ARP;
Se o ataque funcionar, o computador do atacante passa a receber os pacotes destinados ao computado atacado. Recebendo esses pacotes, ele pode modificá-los, não encaminhá-los, mandar para outros computadores e etc.
 ARP Gratuito
É uma forma de um computador se anunciar na rede;
Para construir um frame ARP gratuito é necessário colocar os Endereços de protocolo da origem e do destino como o endereço (IP por exemplo) do computador que irá enviar o ARP gratuito
Proxy ARP 
É uma forma de fazer com que sub-redes diferentes consigam receber pacotes ARP uma da outra;
Uma forma de implementar o proxy é colocando o default gateway das duas redes apontando para o mesmo computador/gateway;
Para possibilitar o encaminhamento, é necessário modificar os pacotes colocando os endereços do computador/gateway para que as redes locais consigam comunicar-se/;