Baixe o app para aproveitar ainda mais
Prévia do material em texto
*/38 * * GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS PROTOCOLOS SEGUROS (TCP/IP) */38 * * PROTOCOLOS E SUA VERSÃO SEGURA PROTOCOLOS SEGUROS (TCP/IP) SMTP – Simple Mail Transfer Protocol, TCP, porta 25 SSMTP – Secure SMTP, TCP, porta 465 POP3 – Post Office Protocol, TCP, porta 110 Secure POP3 (SSL-POP), TCP, porta 995 (TLS ou SSL) IMAP4 – Internet Message Access Protoco, TCP, porta 143 Secure IMAP (IMAP4-SSL), TCP, porta 585 IMAP4 over SSL (IMAPS), TCP, porta 993 (TLS ou SSL) */38 * * PROTOCOLOS SEGUROS (TCP/IP) RSH – Remote Shell, TCP, porta 514 SSH – Secure Shell, TCP, porta 22 FTP – File Transfer Protocol, TCP, porta 21 SFTP – SSH FTP (não necessita do canal de dados), TCP, porta 22 (do SSH) FTPS – FTP – SSL/TLS (certificado), TCP porta 21 SCTP – Stream Control Transmission Protocol, protocolo da camada de transporte. Agora vejamos alguns em detalhes! PROTOCOLOS E SUA VERSÃO SEGURA */38 * * SSL – SECURE SOCKET LAYER PROTOCOLOS SEGUROS (TCP/IP) SSL – Secure Socket Layer e seu sucessor (desenvolvido pela Netscap) TLS – Transport Layer Security Ambos provêem transporte seguro às conexões entre as aplicações, exemplo Servidor Web com o browser. TLS pode ser visto como SSL 3.1 HTTPS = HTTP sobre SSL ou TLS */38 * * SSL – SESSÃO E CONEXÃO PROTOCOLOS SEGUROS (TCP/IP) sessão é uma associação entre um cliente e um servidor; sessões são stateful, o estado da sessão inclui algoritmos de segurança e parâmetros; sessão pode incluir múltiplas conexões seguras entre o mesmo cliente e servidor; conexões da mesma sessão compartilham o estado da sessão; */38 * * SSL – SESSÃO E CONEXÃO PROTOCOLOS SEGUROS (TCP/IP) sessões são usadas para evitar a custosa negociação de novos parâmetros de segurança para cada conexão; */38 * * SSL – SECURE SOCKET LAYER PROTOCOLOS SEGUROS (TCP/IP) Arquitetura SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Handshake Protocol SSL Record Protocol T C P Applications (HTTP etc) I P */38 * * SSL – COMPONENTES PROTOCOLOS SEGUROS (TCP/IP) SSL Handshake Protocol negociação de algoritmos de segurança e parâmetros troca de chaves autenticação do servidor e opcionalmente autenticação de cliente SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Handshake Protocol SSL Record Protocol */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL Change Cipher Spec Protocol uma única mensagem que indica o final do handshake SSL SSL – COMPONENTES SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Handshake Protocol SSL Record Protocol */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL Alert Protocol mensagens de erro (avisos e alertas fatais) SSL – COMPONENTES SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Handshake Protocol SSL Record Protocol */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL Record Protocol fragmentação compressão mensagem de autenticação e proteção de integridade criptografia SSL – COMPONENTES SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Handshake Protocol SSL Record Protocol */38 * * PROTOCOLOS SEGUROS (TCP/IP) Fase 1: Estabelecendo as capacidades de segurança Negociação do ID da sessão, algoritmo troca de chaves, algoritmo MAC, algoritmo de criptografia, e troca de números aleatórios iniciais SSL – HANDSHAKE PROTOCOL - OVERVIEW Fase 1 Cliente Servidor */38 * * PROTOCOLOS SEGUROS (TCP/IP) Fase 2: Autenticação do servidor e troca de chave Servidor pode enviar o seu certificado e mensagem de troca de chave, e pode requisitar um certificado ao cliente. Servidor sinaliza término “hello phase”. SSL – HANDSHAKE PROTOCOL - OVERVIEW Fase 1 Fase 2 Cliente Servidor */38 * * PROTOCOLOS SEGUROS (TCP/IP) Fase 3: Autenticação do cliente e troca de chave Se tiver sido requisitado o cliente envia certificado, e pode enviar uma mensagem explícita de verificação do certificado. Cliente sempre envia a sua mensagem de troca de chaves. SSL – HANDSHAKE PROTOCOL - OVERVIEW Fase 1 Fase 3 Fase 2 Cliente Servidor */38 * * PROTOCOLOS SEGUROS (TCP/IP) Fase 4: Finalizando o Handshake Protocol Altera “cipher spec” e finaliza o handshake SSL – HANDSHAKE PROTOCOL - OVERVIEW Fase 1 Fase 4 Fase 3 Fase 2 Cliente Servidor */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – RECORD PROTOCOL – OVERVIEW DO PROCESSAMENTO Dados da aplicação Fragmento de dados da aplicação Fragmento de dados da aplicação Fragmento de dados da aplicação Fragmento de dados da aplicação length version type fragmentação SSL plaintext */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – RECORD PROTOCOL – OVERVIEW DO PROCESSAMENTO Fragmento de dados da aplicação length version type compressão Frag de dados da aplicação comprimido length version type SSL texto claro SSL comprimido */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – RECORD PROTOCOL – OVERVIEW DO PROCESSAMENTO Msg autenticação e criptografia Frag de dados da aplicação comprimido length version type SSL comprimido length version type SSL texto cifrado MAC padding Frag de dados da aplicação comprimido Com padding se necessário */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – FUNCIONAMENTO RESUMIDO Informa suite de algoritmos suportados e informa o RNc O servidor escolhe os algoritmos e informa o RNs Cliente Servidor GERA - RNc GERA - RNs Figura baseada no livro introducao-a-infraestrutura-de-chaves-publicas-e-aplicacoes, da RNP - esnr */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – FUNCIONAMENTO RESUMIDO (fase 2) Servidor apresenta seu certificado digital Cliente Servidor Verificar informações do certificado, caminho de certificação, estado de revogação etc Certificado OK, cliente passa a ter a chave pública do servidor. */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – FUNCIONAMENTO RESUMIDO (fase 3) PMS cifrado com a chave pública do Servidor Cliente Servidor GERA – PMS (Pre Master Secret) DECIFRA - PMS Gera chave simétrica MS utilizando RNc, RNs e PMS MS = chave de sessão */38 * * PROTOCOLOS SEGUROS (TCP/IP) SSL – FUNCIONAMENTO RESUMIDO (fase 4) Encerra o handshake Encerra o handshake Cliente Servidor Dados cifrados Alterna para o modo cifrado com MS Alterna para o modo cifrado com MS */38 * * IPSec – IP SECURITY PROTOCOL PROTOCOLOS SEGUROS (TCP/IP) Serviços que o IPSec pode fornecer: integridade sem conexão; autenticação de origem de dados; proteção contra ataques “replay”; confidencialidade; confidencialidade limitada ao fluxo de tráfego. */38 * * IPSec – IP SECURITY PROTOCOL PROTOCOLOS SEGUROS (TCP/IP) fornece segurança ao IP e/ou camada superior (TCP e UDP); implementado por software ou hardware em um host ou gateway de segurança (roteador ou firewall). */38 * * IPSec – MÓDULOS PROTOCOLOS SEGUROS (TCP/IP) MÓDULOS DO IPSec Security Policy Database (SPD) especificações de segurança aplicadas a cada pacote; Security Association Database (SAD) parâmetros de segurança (algoritmos de criptografia, o modo usado, os dados de inicialização, chaves de sessão) usado para impor uma política específica. */38 * * IPSec – MÓDULOS PROTOCOLOS SEGUROS (TCP/IP) SA = Security Parameter Index (SPI) + IP de destino SA único sentido, logo uma conexão IPSec = 2 SAs */38 * * IPSec – IP SECURITY PROTOCOL PROTOCOLOS SEGUROS (TCP/IP) A conexão de um módulo com o outro é criado através de uma Associação de Segurança (SA), corresponde a uma entrada no SAD; SA é uma conexão unidirecional que define o tipo de serviços e mecanismos de segurança utilizados entre dois módulos; IPSec = 2 modos de operação e 2 protocolos . */38 * * IPSec – CARACTERÍSTICAS DOS PROTOCOLOS AH E ESP PROTOCOLOS SEGUROS (TCP/IP) Authentication Header (AH) RFC 1826; Integridade Sim Autenticação Sim Não-repúdioDepende do algoritmo de criptografia Encriptação Não Proteção contra repetição Sim Encap. Security Payload (ESP) RFC 1827; Integridade Sim Autenticação Depende do algoritmo de criptografia Não-repúdio Não Encriptação Sim Proteção contra repetição Sim */38 * * IPSec – PROTOCOLOS E SEUS MODOS PROTOCOLOS SEGUROS (TCP/IP) modo de transporte - protege cargas da camada superior de um pacote IP (TCP, UDP), SA entre 2 hosts; modo de túnel - protege um pacote IP inteiro, incluindo a sua carga útil (VPN), SA entre 2 gateways ou host-gateway IP IPSec Payload Protegido IPSec Inner IP Payload Protegido Outer IP */38 * * IPSec - ARQUITETURA PROTOCOLOS SEGUROS (TCP/IP) DOI - Domain of Interpretation, define formato do payload, tipos de trocas, conveções para nomear informações de segurança relevante, como políticas ou algoritmos criptográficos. */38 * * ENCAPSULATED SECURITY PAYLOAD (ESP) PROTOCOLOS SEGUROS (TCP/IP) Deve criptografar e/ou autenticar cada pacote A criptografia ocorre antes da autenticação A autenticação é aplicada aos dados do cabeçalho IPsec, bem como os dados contidos como carga útil */38 * * ESP – MODO DE TRANSPORTE Vs. TUNELAMENTO PROTOCOLOS SEGUROS (TCP/IP) IP Cabeçalho TCP/UDP Dados Cabeçalho ESP IP Cabeçalho TCP/UDP Dados Trailer ESP Autentica. ESP C r i p t o g r a f a d o Integridade coberta pelo HASH Cabeçalho ESP Cabeçalho TCP/UDP Dados Trailer ESP Autentica. ESP C r i p t o g r a f a d o Integridade coberta pelo HASH IP Novo Header IP TRANSPORTE TUNELAMENTO */38 * * AUTHENTICATION HEADER (AH) PROTOCOLOS SEGUROS (TCP/IP) A autenticação é aplicada a todo o pacote, com os campos mutáveis no cabeçalho IP zerada Se ambos AH e ESP são aplicados a um pacote, AH segue ESP */38 * * PROTOCOLOS SEGUROS (TCP/IP) AH – MODO DE TRANSPORTE Vs. TUNELAMENTO IP Cabeçalho TCP/UDP Dados Cabeçalho AH IP Cabeçalho TCP/UDP Dados Integridade coberta pelo HASH Exceto campos mutáveis (ex: TTL) Cabeçalho AH IP Cabeçalho TCP/UDP Dados Integridade coberta pelo HASH Exceto campos mutáveis (ex: TTL) Novo Header IP TRANSPORTE TUNELAMENTO */38 * * IPSec - INTERNET KEY EXCHANGE (IKE) PROTOCOLOS SEGUROS (TCP/IP) modo de negociação principal de uma ISAKMP SA, que será usado para criar IPSec SAs três passos SA negociação Diffie-Hellman e troca de nonce autenticação */38 * * INTERNET KEY EXCHANGE (IKE) PROTOCOLOS SEGUROS (TCP/IP) Fase I Estabelecer um canal seguro (ISAKMP SA) Autenticar a identidade do computador Fase II Estabelece um canal seguro entre computadores destinado à transmissão de dados (IPsec SA) */38 * * INTERNET SECURITY ASSOCIATION AND KEY MANAGEMENT PROTOCOL - ISAKMP PROTOCOLOS SEGUROS (TCP/IP) Main mode Kerberos Certificate Pre-shared Key Quick Mode */38 * * DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS PROTOCOLOS SEGUROS (TCP/IP) RFC 2065 Implementa mecanismos de segurança ao protocolos DNS, verificando a autenticidade e integridade do resultado das consultas. Utiliza criptografia assimétrica (chave pública) DNSSec fornece 3 serviços distintos: distribuição de chaves, certificação da origem dos dados e certificação da transação e requisição. */38 * * PROTOCOLOS SEGUROS (TCP/IP) Resource Records (RRs): DNSKEY – armazena a chaves públicas para assinatura do domínio; RSIG - assinar outros RRs; NSEC – (Next Secure)permite autenticar uma resposta negativa; DS – (Delegacion Signer)garantir a continuidade do "canal de segurança" na delegação de zonas. DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS */38 * * PROTOCOLOS SEGUROS (TCP/IP) DNSKEY – exemplo: estacio.br. 84600 IN DNSKEY 256 3 5 djdfjiajfm4286360WDfjkru347&$3jifdhcmjiji1702kso estacio.br. 84600 IN DNSKEY 257 3 5 WMFghi45930idkzm(8*7&23#djfhvn2129824bc3ff20 1ª linha - Zone Signing Key (ZSK), para assinar os registros da zona; 2ª linha - Key Signing Key (KSK). para assinar os registros DNSKEY. Problema distribuição da chave pública DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS */38 * * PROTOCOLOS SEGUROS (TCP/IP) RSIG – exemplo: pos1.estacio.br. A 192.168.0.1 pos1.estacio.br. RISG A ZSdfgmc78237djdfjiajfm420WDfjkru347&$3jifdhcmjijjh32450sxjuix5 O processo de assinatura é realizado off-line; O NS recursivo recebe como resposta: RRSet (registros consultados) + RRSIG (assinatura do RRSet) Checagem, executa a função hash no RRSet recebido, com a chave pública da zona decriptografa o RRSIG. Se hash do RRSet = RRSIG decriptografado => Válido DNSSec, DOMAIN NAME SYSTEM SECURITY EXTENSIONS */38 * * PRÓXIMA AULA Você conhecerá nas redes sem fio questões quanto à segurança física, ataques, ferramentas e mecanismos de segurança e prevenção. SEGURANÇA EM REDES SEM FIO
Compartilhar