Professional Documents
Culture Documents
22/08/2016
Network+
Segurana
Autenticao e Controle de Acesso
Ricardo Queiroz
Ps-graduao em Redes de Computadores da FSA
Ricardo Queiroz
Introduo
At agora...
Estudamos padres de redes, tecnologias relacionadas e
como fazer dispositivos se comunicarem atravs de uma
infraestrutura de rede
No entanto, comunicao em rede muito mais que isso,
dessa forma, agora discutiremos um aspecto crtico:
Segurana
Estabelecer comunicao e acessas informaes locais ou
remotas j dominamos, agora precisamos saber quem est
na outra extremidade da conexo
Resumidamente, precisamos confirmar que a pessoa,
computador ou processo na outra extremidade devia estar
acessando um determinado recurso e se essa entidade
realmente quem diz ser!
2
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Filtragem de Portas
Funcionamento
ACLs tambm podem ser usadas para filtrar nmeros de
porta assim como feito com endereos IP
Na verdade, a maioria dos firewalls permite somente trfego
pelas portas que foram especificadas pelo administrador
uma forma de Deny implcito, ou seja, tudo que no
especificamente permitido, negado por padro!
Ricardo Queiroz
Tunelamento (1)
preocupante imaginar uma imensa quantidade de
dados sensveis que trafega na Internet sem
absolutamente nenhuma segurana
A Internet precisa de segurana tanto quanto precisamos de
ar puro!
Existe uma gama de protocolos que oferecem regras e
condies para definir, criar e manter conexes seguras para
viabilizar o envio seguro de dados sensveis
10
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Tunelamento (2)
Conceitos Importantes
Tunelamento
Significa encapsular um protocolo dentro de outro
protocolo para garantir que a transmisso seja segura
Essa ideia de colocar a PDU de um protocolo dentro do payload de outro
protocolo para ser enviada, onde este ltimo criptografa o payload
Se olharmos o processo como um todo, temos a ntida ideia que criamos
um tnel seguro para a conexo
11
Ricardo Queiroz
Protocolos de Tunelamento
Entendimento Importante
Por agora, precisamos prepara um alicerce para as prximas
disciplinas, para que no momento certo, tenhamos base para
desenvolver habilidades e competncias para implementar
mecanismos de segurana com eficcia
Protocolos que precisamos entender seu funcionamento
Virtual Private Network VPN
Secure Sockets Layer SSL
SSL com VPN
Layer 2 Tunneling Protocol L2TP
Internet Protocol Security IPSec
Internet Security Association and Key Management
Protocol - ISAKMP
12
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
14
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
VPNs Site-to-Site
Ou Intranet VPN, permite a uma companhia se conectar
a seus outros sites remotos criado a ideia de um
backbone corporativo sobre um meio pblico, como a
Internet ao invs de gastar os caros links Frame Relay
Extranet VPNs
Permite aos fornecedores, parceiros e consumidores de
uma organizao conectarem-se a rede corporativa, de
15
forma limitada, para realizarem atividades B2B
Network+: Autenticao e Controle de Acesso
Ricardo Queiroz
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
18
Network+
Ricardo Queiroz
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
Ricardo Queiroz
10
Ricardo Queiroz
22/08/2016
Unidades de 16KB
21
Ricardo Queiroz
Network+
Ricardo Queiroz
11
Ricardo Queiroz
22/08/2016
L2TP
Descrio
O L2TP foi criado pelo IETF para oferecer suporte a protocolos
no-TCP/IP para que uma VPN pudesse ser criada sobre a Internet
O L2TP , na verdade, uma combinao do PPTP (Microsoft) com o
L2F (Layer 2 Forwarding da Cisco)
Uma caracterstica interessante do L2TP que ele pode trabalhar
direto com a camada de enlace e suporta vrios tipos de protocolos
diferentes, alm do TCP/IP, como o IPX e Appletalk
um recurso interessante quando necessria uma VPN entre
duas redes no-TCP/IP, mas que precisam se comunicar via
Internet
Em resumo
O L2TP permite que o trfego IP, IPX ou NetBEUI seja
encriptado e ento enviado sobre qualquer rede que suporte
entrega de datagramas ponto-a-ponto, assim como IP, X.25,
Frame Relay ou ATM
23
Ricardo Queiroz
PPTP
Detalhamento
Desenvolvido em conjunto pela Microsoft, Lucent, 3COM e outras
companhias para prover acesso seguro a uma VPN, no
atualmente sancionado pelo IETF, mas isso no quer dizer que no
funcione
O PPTP um combinao de um protocolo inseguro, o PPP, e de
um protocolo de sesso segura, o Generic Routing Encapsulation
(GRE) Protocol
Como o PPTP usa dois diferentes protocolos, assim, abre duas
conexes (sesses)
A ttulo de informao, ele pouco adotado, pois sofre um pouco
para passar por roteadores, e ainda foi o primeiro protocolo
suportado pelos servios de RAS da Microsoft
O PPTP permite que o trfego IP, IPX ou NetBEUI seja encriptado e
ento encapsulado em um cabealho IP onde este ser enviado
atravs de uma rede (Coorporativa ou a Internet)
24
Network+
Ricardo Queiroz
12
Ricardo Queiroz
22/08/2016
IPSec (1)
uma coleo de protocolos desenvolvidos pelo IETF para fornecer
segurana para qualquer aplicao que opere nas camadas acima
Os protocolos que o IPSec utiliza so o AH responsvel pela
autenticao e o ESP que server para autenticar e criptografar
O IPSec inicialmente no define nenhum algoritmos de cifragem ou
mtodo de autenticao, no entanto
So especificados uma estrutura e um mecanismo (modo de
funcionamento) que viabiliza o uso dos respectivos mtodos
O mecanismo de autenticao do IPSec o HMAC (KeyedHashing for Message Authentication, o qual utiliza funes da
hashing (MD5 ou SHA) em combinao com uma chave
secreta compartilhada entre as entidades
Security Association
O IPSec requer uma conexo lgica entre dois hosts usando
um protocolo de sinalizao chamado Security Association
O IPSec precisa que o protocolo sem conexo IP seja
modificado para um protocolo orientado a conexo antes da
segurana ser implementada efetivamente
25
Ricardo Queiroz
IPSec (2)
Security Association
Uma conexo SA simplex entre fonte e destino, mas pode
ser estabelecida uma full-duplex atravs de duas simplex
Elementos necessrio para definio de uma conexo SA
Security Parameter Index (SPI) de 32 bits, o qual um
identificador de circuito virtual em protocolos
orientados a conexo (FR e ATM)
O tipo de protocolo usado para a segurana: AH e ESP
A origem do endereo IP
26
Network+
Ricardo Queiroz
13
Ricardo Queiroz
22/08/2016
IPSec (3)
Modos de Operao
O IPSec opera em dois modos onde cada um define onde o
cabealho IPSec ser adicionado no pacote IP
Modo de Transporte e Modo de Tunelamento
27
Ricardo Queiroz
IPSec (3)
Viso Detalhada do Modo Tnel e Transporte
As figuras abaixo mostram os modos tnel e transporte
considerando a estrutura dos pacotes
28
Network+
Ricardo Queiroz
14
Ricardo Queiroz
22/08/2016
IPSec (4)
Observe a figura atentamente....
29
Ricardo Queiroz
IPSec (5)
Observe a figura atentamente....
30
Network+
Ricardo Queiroz
15
Ricardo Queiroz
22/08/2016
ISAKMP (1)
Conceitos
O ISAKMP define procedimentos e formatos de pacotes para
estabelecer, negociar, modificar e deletar Security
Associations (SAs)
SAs contm informaes necessrias para executar servios
seguros assim como autenticao de cabealho e
encapsulamento de payload
O ISAKMP tem a funcionalidade de prover um framework
para, de forma segura, transferir chaves e autenticar dados
no especificando nenhum mtodo de gerao de chaves,
algoritmo de criptografia ou mecanismo de autenticao
Funcionando integrado ao IPSec, o ISAKMP negocia a poltica
e fornece uma estrutura comum gerando as chaves de que
os parceiros IPSec compartilham
31
Ricardo Queiroz
Criptografia (1)
Introduo
Algumas vezes, goste ou no, enviar dados sigilosos pela
Internet no pode ser evitado, portanto, sem uma tecnologia
para esconder ou codificar esses dados, a sua empresa est
sob grande ameaa
Como funciona a Criptografia?
Codificando os dados com o uso de uma cifra
(algoritmo), onde o mesmo usa uma frmula especial
chamada chave para mascarar os dados sensveis a
interceptao
Ambos, os parceiros da comunicao, precisam saber a
frmula usada para codificar os dados
32
Network+
Ricardo Queiroz
16
Ricardo Queiroz
22/08/2016
Criptografia (2)
Histria
Em 1979, o NSA classificou as ferramentas de criptografia e
suas frmulas associadas, como munies e a NSA passou a
supervisionar sua regulamentao desde anto
Os perigos associados a possibilidade de naes hostis,
terroristas e criminosos possam usar comunicaes
criptografadas para arquitetar crimes e permanecerem
ocultos a razo primordial para tal classificao da NSA
Est a razo porque os americanos s permitem a
exportao legal de mtodos criptogrficos fracos
Por conseguinte, isso traz uma questo a tona: Como
podemos, exatamente, medir a fora de um algoritmo de
criptografia?
Uma forma de fazer isso medir a fora dos bits, a qual
baseia-se no tamanho das chaves
33
Ricardo Queiroz
Criptografia (3)
Segurana dos Mtodos de Criptografia
At 1998, somente software que trabalhasse com cheves de
criptografia de 40 bits ou menos poderia ser exportado, mas
hoje permitido 64 bits
Qualquer exportao de software com chaves maiores deve
ser revista e autorizada pela EAR Export Administration
Regulations
No entanto, tais regras no so aplicadas a todos os pases,
pois alguns so tidos como confiveis, tais como pases do
oeste europeu, Canada, Austrlia e Japo
Uma exceo a tais regras impostas a exportao de
mtodos de criptografia aplicadas a entidades bancrias
americanas em qualquer pais, as quais podem usar chaves
maiores
34
Network+
Ricardo Queiroz
17
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
36
Network+
Ricardo Queiroz
18
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
38
Network+
Ricardo Queiroz
19
Ricardo Queiroz
22/08/2016
Funcionamento
Existem 3 blocos DES e trs chaves de 56 bits
Cada bloco DES opera com uma chave e na encriptao existe
um bloco encripta+desencripta+encripta e na desencriptao
os blocos so desencripta+encripta+desencripta
39
Ricardo Queiroz
Esquema do 3DES
40
Network+
Ricardo Queiroz
20
Ricardo Queiroz
22/08/2016
3DES e DES
Compatibilidade 3DES e DES
Questo Importante
Observe que o 3DES emprega uma chave em cada um dos
seus trs blocos, dessa forma
Ricardo Queiroz
43
Network+
Ricardo Queiroz
21
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
45
Network+
Ricardo Queiroz
22
Ricardo Queiroz
22/08/2016
Vantagens
Remove a necessidade de uma chave simtrica compartilhada
entre duas entidades (pessoas ou processos)
A chave simtrica compartilhada entre duas partes e no pode ser
utilizada quando uma delas quiser se comunicar com uma terceira parte
Quando usamos a criptografia assimtrica, cada entidade cria um par de
chaves e a chave pblica pode ser utilizada para se comunicar com
qualquer outra parte
Desvantagens
Algoritmos complexos
O Tamanho das chaves relativamente extenso e processo
mais lento
A associao entre uma entidade e sua chave pblica deve ser
46
certificada atravs de uma entidade certificadora
Network+: Autenticao e Controle de Acesso
Ricardo Queiroz
Network+
Ricardo Queiroz
23
Ricardo Queiroz
22/08/2016
PGP e TCP/IP
Posio do PGP na Pilha TCP/IP
50
Ricardo Queiroz
PGP
Detalhamento
Por colocar o PGP na Internet, Zimmenmann foi perseguido
por uma investigao do governo americano por, segundo os
EUA, violar as leis de exportao de munies
Devido a publicao do cdigo e para fugirem da perseguio
por utilizar algoritmos patenteados, surgiram vrias verses
do PGP e isso fez surgir vrias incompatibilidades entre elas
O PGP acabou por se tornar um padro com funcionalidades
que diferem de fabricante para fabricante
Algumas se integram com aplicaes de correio
eletrnico outras compactam os dados a serem
chamados e estes so anexados no e-mail a ser enviado
51
Network+
Ricardo Queiroz
24
Ricardo Queiroz
22/08/2016
52
Ricardo Queiroz
53
Network+
Ricardo Queiroz
25
Ricardo Queiroz
22/08/2016
PGP
Detalhamento
O PGP aceita trs tamanhos de chaves RSA e cabe ao
usurio selecionar o mais apropriado (384 bits a 2048 bits)
A mensagem formada por trs partes, contendo a chave
IDEA, a assinatura e a mensagem
A parte referente a chave contm no s a chave, mas
tambm um identificador de chave, pois o usurio pode ter
vrias chaves pblicas
O cabealho informa hora, identificador de chave pblica,
identificao dos algoritmos utilizados
O PGP dedicou ateno especial ao gerenciamento de chaves
de forma que cada usurio possua duas estruturas de dados
com pares de chaves pblicas e privadas
Os usurios podem alterar suas chaves sempre que
considerarem as mesmas comprometidas
54
Network+: Autenticao e Controle de Acesso
Ricardo Queiroz
Network+
Ricardo Queiroz
26
Ricardo Queiroz
22/08/2016
Processo
Aps estabelecer conexo, o usurio usa a janela prconfigurada do terminal (similar a uma janela padro do
Windows)
A partir dai, o usurio pode acessar aplicativos e arquivos
desde que os direitos de acesso permitam
O RDP 7.1 oferece criptografia de 128 bits com o RC4 com
56
suporte ao TLS 1.0
Network+: Autenticao e Controle de Acesso
Ricardo Queiroz
57
Network+
Ricardo Queiroz
27
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
59
Ricardo Queiroz
28
Ricardo Queiroz
22/08/2016
60
Ricardo Queiroz
Network+
61
Ricardo Queiroz
29
Ricardo Queiroz
22/08/2016
62
Ricardo Queiroz
Gerenciando Senhas...
Devemos garantir que todas as senhas sigam as
mesmas recomendaes de segurana para evitar que
sejam facilmente advinhadas
Configuraes no SO tambm devem ser feitas para
dificultar a descoberta de senhas e detectar tentativas
Network+: Autenticao e Controle de Acesso
Network+
63
Ricardo Queiroz
30
Ricardo Queiroz
22/08/2016
64
Ricardo Queiroz
65
Network+
Ricardo Queiroz
31
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Autoridade Certificadora
Organizao que associa uma chave pblica a uma entidade e
tem o poder de emitir um certificado
Uma CA possui uma chave pblica bem conhecida e que no
pode ser forjada
A CA gera uma sntese do certificado e cifra a sntese com sua
chave privada
Qualquer outra entidade, para fins de verificao, faz um
download da sntese cifrada e aplica a chave pblica da CA a
mesma para verificar a autenticidade do certificado
67
Network+
Ricardo Queiroz
32
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Certificado
Data de Nmero serial (nico para o emissor)
Informao sobre o dono do certificado, incluindo o algoritmo e o
valor da prpria chave (no mostrada)
Informao sobre o
emissor do certificado
Data de validade
Assinatura digital do
emissor
69
Network+
Ricardo Queiroz
33
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
71
Network+
Ricardo Queiroz
34
Ricardo Queiroz
22/08/2016
72
Ricardo Queiroz
Servidor Real
Servidor Real (Bob) que fornece servios a algum usurio (Alice)
73
Network+
Ricardo Queiroz
35
Ricardo Queiroz
22/08/2016
Servidores Kerberos
74
Ricardo Queiroz
76
Network+
Ricardo Queiroz
36
Ricardo Queiroz
22/08/2016
Autorizao
Envolve a garantia de acesso aos recursos e servios da rede
Antes da autorizao aos recursos a autenticao deve ocorrer
Contabilidade
o rastreamento da utilizao dos recursos de rede pelos
usurios
Usado para guardar uma trilha de quem usou, qual recurso,
quando e onde
77
Ricardo Queiroz
78
Network+
Ricardo Queiroz
37
Ricardo Queiroz
22/08/2016
79
Ricardo Queiroz
Acesso Internet
O IAS pode ser configurado para gerenciar clientes de
um ISP de modo que o servidor conceda acesso com
base no plano de servios do cliente
80
Network+
Ricardo Queiroz
38
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
82
Network+
Ricardo Queiroz
39
Ricardo Queiroz
22/08/2016
Ricardo Queiroz
Network+
85
Ricardo Queiroz
40
Ricardo Queiroz
22/08/2016
RAS
RADIUS
86
Ricardo Queiroz
87
Network+
Ricardo Queiroz
41
Ricardo Queiroz
22/08/2016
Importante
Depois de configurar o servidor de Roteamento e Acesso Remoto para
usar a autenticao RADIUS, as diretivas de acesso remoto
armazenadas no servidor de acesso remoto no sero mais usadas e
sim as diretivas armazenadas no servidor RADIUS
88
Ricardo Queiroz
Cliente de Acesso
So clientes remotos que buscam acesso rede local usando
conexes VPN, Dial-up (discada) e wireless
Aps estabelecida a conexo o cliente pode usar recursos da
rede como se estivesse fisicamente conectado a mesma
Network+: Autenticao e Controle de Acesso
Network+
89
Ricardo Queiroz
42
Ricardo Queiroz
22/08/2016
Servios de Autenticao
A medida em que o acesso a rede fica mais difundido,
necessrio aumentar o nvel de segurana da rede para
proteg-la contra o acesso e uso no autorizados
Isso pode ser feito atravs de um servio que fornea
autenticao de alta segurana para validar identidades, bem
como criptografia para proteger os dados
Caso existam vrios servidores de acesso, voc pode
centralizar a autenticao usando o Remote Authentication
Dial-In User Service (RADIUS) para autenticar e autorizar
usurios remotos
Active Directory
O Active Directory contm as contas de usurio, senhas e
propriedades dial-up necessrias para autenticar as
credenciais do usurio e avaliar as restries de conexo e
autorizao
O AD controla o acesso atravs de diretivas de segurana
Network+: Autenticao e Controle de Acesso
90
Ricardo Queiroz
92
Network+
Ricardo Queiroz
43