A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança de Redes Recentemente a área de Segurança foi agitada por Edward Snowden, ex-analista de inteligência americano que tornou públicos detalhes.

PublicouMariane Mirante Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança de Redes Recentemente a área de Segurança foi agitada por Edward Snowden, ex-analista de inteligência americano que tornou públicos detalhes."— Transcrição da apresentação:

1 Segurança de Redes Recentemente a área de Segurança foi agitada por Edward Snowden, ex-analista de inteligência americano que tornou públicos detalhes de programas altamente confidenciais de vigilância eletrônica dos governos de Estados Unidos e Reino Unido. Snowden era um colaborador terceirizado da National Security Agency (NSA) e foi também funcionário da Central Intelligence Agency (CIA). Snowden deu detalhes da vigilância de comunicações e tráfego de informações executada pelo programa de vigilância PRISM dos Estados Unidos. O Governo dos EUA acusou-o de roubo de propriedade do governo, comunicação não autorizada de informações de defesa nacional e comunicação intencional de informações de inteligência para pessoa não autorizada. Segurança

2 Segurança de Redes Na área de segurança é fundamental desenvolver soluções proprietárias, segundo o Coordenador Geral do CEPESC (Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações) da Abin (Agência Brasileira de Inteligência), evitando assim a inserção de backdoors - maneira de ganhar acesso a serviços e sistemas.  As redes do governo federal são alvos de uma média de incidentes por hora,  cerca de 60 são considerados mais sérios. A maioria dos ataques às redes do governo federal está relacionada à desconfiguração, vulnerabilidade de códigos e de servidores, "phishing"(fraude eletrônica para "pescar" dados como senhas) e "malwares“. Segurança

3 Segurança de Redes Os problemas dividem-se nas seguintes areas interligadas: Sigilo; Autenticação; Não-repúdio; Integridade Segurança

4 Que nível deve cuidar da segurança?
Todos os níveis podem contribuir Físico: evitar grampos, ex. manter cabo em tubos com gás com pressão controlada; Enlace: criptografar cada quadro (abrir em cada roteador? ineficiente); Rede: firewalls controlando IPs; Transporte: criptografar conexões fim-a-fim; Aplicação: autenticação de usuário e não-repúdio. Segurança

5 Criptografia (1) Criptografia: escrita secreta.
Arte historicamente usada por militares, diplomatas, amantes... Governos adotam seus algoritmos, muitos utilizam o Princípio de Kerckhoff: Todos os algoritmos devem ser públicos, apenas as chaves são secretas. Ao tornar o algoritmo público, inúmeros criptólogos tentam decodificar o algoritmo; se durante cinco anos após sua publicação ninguém conseguiu ele é considerado sólido. Manter o algoritmo secreto (segurança por obscuridade) não funciona. Segurança

6 Criptografia (2) A alta administração do governo brasileiro foi apresentada em 14/8/2013, a um novo sistema de proteção de comunicações intragovernamentais – na prática um token com algoritmo de criptografia para garantir a inviolabilidade das trocas de informações. A ferramenta funciona, por exemplo, para o envio de s entre os ministros de Estado. Segundo o diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República: “...para proteger informações precisamos de criptografia, e com algoritmo de Estado. No caso, dois algoritmos feitos em parceria com o Cepesc da Abin que já têm 12 ou 13 anos de uso, plenamente seguros, nunca quebrados.” Segurança

7 Introdução à Criptografia
The encryption model (for a symmetric-key cipher). Segurança

8 Blocos de Cifras Os métodos usam substituição ou transposição.
Substituição: cada letra ou grupo de letras é substituído por outra letra ou grupo de letras. Problema: ataques de dicionário. Transposição: reordenam as letras. Blocos de Cifras: Obtém n bits de texto simples como entrada e o transformam, usando a chave, em um bloco de n bits de texto cifrado. Segurança

9 Transposition Ciphers
A transposition cipher. Segurança

10 Algoritmos de Chave Simétrica
Algoritmos de chave simétrica usam a mesma chave para codificar e decodificar. Hoje em dia se quer algoritmos complexos, difíceis de decifrar. Cifra-Produto Basic elements of product ciphers. (a) Caixa P (Permutação) (b) Caixa S (c) Product. Caixas S pequenas podem ser implementadas por hardware Segurança

11 DES- Data Encryption Standard
Padrão adotado pelo governo americano em 1977 (até ~1997) (a) General outline. (b) Detail of one iteration. The circled + means exclusive OR. Segurança

12 Triple DES Em 1979, verificou-se que a chave do DES era pequena. Para resolver este problema criou o 3DES com 3 estágios e duas chaves: (a) Triple encryption using DES. (b) Decryption. Se k1=k2, o DES de única chave é compatível com o 3-DES Segurança

13 AES - Advanced Encryption Standard
O NIST (National Institute of Standards and Technology) decidiu que o governo precisava de novo algoritmo. Em janeiro de 1997 patrocinou uma competição mundial. Rules for AES proposals The algorithm must be a symmetric block cipher. The full design must be public. Key lengths of 128, 192, and 256 bits supported. Both software and hardware implementations required. The algorithm must be public or licensed on nondiscriminatory terms. Segurança

14 AES (2) Em 2001 o NIST anunciou o algoritmo selecionado denominado Rijndael (Rijmen e Daemen – belgas) que foi adotado pelo governo americano; dominante no mundo. Algoritmo: Segurança

15 AES (3) Algoritmo: Segurança

16 AES (4) Como cada etapa é reversível, a decodificação pode ser feita executando o algoritmo no sentido inverso. Uma boa implementação por software em máquina de 2Ghz deve ser capaz de alcançar uma taxa de criptografia de 700Mbps, o suficiente para codificar mais de cem vídeos de MPEG-2 em tempo real. Em hardware a implementação é mais rápida ainda. Segurança

17 Modos de cifra Algumas propriedades das cifras de substituição monoalfabética podem ser usadas para anular parcialmente a cifra. No exemplo, o conteúdo do arquivo está todo criptografado, porém é possível inverter campos sem necessáriamente conhecer o conteúdo. Segurança Segurança

18 Cipher Block Chaining Mode
Cipher block chaining. (a) Encryption. (b) Decryption. Segurança

19 Outras cifras Some common symmetric-key cryptographic algorithms.
Segurança

20 Algoritmos de Chave Pública - 1
O elo fraco do sistema de chave simétrica é a distribuição da chave: ambos os lados devem possuir a chave secreta compartilhada . Criado por Diffie e Hellman em 1976, novo sistema de criptografia tem 3 requisitos: D(E(P))=P É muito difícil deduzir D a partir de E E não pode ser decifrado por ataque de texto simples escolhido. (Se intrusos experimentam E até cansar, quebram e decifram D a partir de E...) Segurança

21 Algoritmos de Chave Pública - 2
Neste novo sistema há uma chave para criptografia e outra para descriptografia. A chave de criptografia é pública, e a outra é privada. (O termo chave secreta é mais utilizado para criptografia simétrica) Alice publica EA em sua home page. Mantém DA secreto. Bob publica EB em sua home page. Mantém DB secreto. Quando Alice quer mandar mensagem para Bob, cifra a mensagem usando EB. Como somente Bob tem DB só ele pode decifrar a mensagem. Segurança

22 RSA - 1 Descoberto por pesquisadores do MIT :Rivest, Shamir, Adleman. A principal desvantagem é exigir chaves de pelo menos 1024 bits para manter um bom nível de segurança, o que o torna lento. Baseia-se em princípios da teoria de números. Cálculo de parâmetros: Escolha 2 números primos extensos, p e q Calcule n = p*q e z = (p-1) * (q-1) Escolha um número d tal que z e d sejam primos entre si. Encontre e de forma que e*d = 1 mod z (ou, e*d-1 divisível por z) Segurança

23 RSA - 2 Agrupe o texto em blocos de k bits, onde k é o maior inteiro para o qual a desigualdade 2K < n. Para criptografar a mensagem P, calcule C= Pe (mod n). Para descriptografar C, calcule P = Cd (mod n). A chave pública consiste no par (e,n) A chave privada consiste no par (d,n). A segurança do método está na dificuldade de fatorar números extensos. Fatorando n, poderia encontrar-se p, q e z. Conhecendo z e e, encontra-se d. Segurança

24 Exemplo do RSA Neste exemplo, escolhe-se p=3, q=11, portanto n=33, z=20. Escolheu-se d=7, 7e = 1 mod 20 => e=3 RSA é lento para codificar grandes volumes de dados, portanto é utilizado para distribuição de chaves que são empregadas em algoritmos mais rápidos como AES Segurança

25 Digital Signatures Assinaturas visam que:
o receptor verifique a identidade do transmissor, o transmissor não possa repudiar a mensagem, o receptor não tenha possibilidade de forjar ele mesmo a mensagem. Há várias estratégias: Assinaturas de chave simétrica Assinaturas de chave pública Sumário de Mensagens Segurança

26 Assinaturas de Chave Simétrica
Digital signatures with Big Brother. E se Alice negar que enviou uma mensagem? E se Trudy interceptar e repetir a mensagem? t... Qual o problema estrutural deste esquema? Segurança

27 Assinaturas de Chave Pública
Assume-se que D(E(P)) = P and E(D(P)) = P Digital signatures using public-key cryptography. E se Alice negar que enviou uma mensagem? Ela poderia espertamente fazer uma declaração que foi invadida e sua chave roubada... Segurança

28 Função Hash Utilizada em esquema de autenticação que não exige criptografia da mensagem inteira (não sigilo). Utiliza função de hash unidirecional, representada por MD (Message Digest), sumário de mensagem. Propriedades importantes: Se P for fornecido, o cálculo de MD(P) será muito fácil; Se MD(P) for fornecido, será efetivamente impossível encontrar P. Dado P, ninguém pode encontrar P’ tal que MD(P’) = MD(P). Uma mudança na entrada de até mesmo 1 bit produz uma saída muito diferente. Segurança

29 Message Digests Digital signatures using message digests.
O algoritmo SHA-1 e SHA-2 são os mais utilizados. O algoritmo MD5 muito popular não é mais considerado seguro, pois demonstrou-se que pode se obter P´ tal que MD(P)=MD(P´) Segurança

30 SHA-1 Use of SHA-1 and RSA for signing nonsecret messages.
Para verificar a assinatura Bob deve: Aplicar SHA-1 sobre M recebido => Hcalculado; Aplicar EA em DA(H) recebido => Hrecebido Comparar Hcalculado com Hrecebido. Segurança

31 Gerenciamento de Chaves Públicas (1)
Um modo de Trudy subverter a criptografia de chave pública. Segurança

32 Gerenciamento de Chaves Públicas (2)
Que tal um centro de distribuição de chave pública, 24 horas disponível fornecendo chaves por demanda? Problema de escalabilidade. A solução pensou em entidades certificadores, ou CA (Certification Authority) que não precisam estar online, mas certifica as chaves pertencentes a pessoas ou organizações. A CA emite certificados => vincula chave pública a nome de protagonista. Se no exemplo anterior Trudy inserir seu certificado, Alice pode conferir e verificar que não está falando com Bob. Segurança

33 Certificado A possible certificate and its signed hash.
O que acontece se Trudy pegar o seu certificado e alterar os campos do protagonista para apontar para Bob? Segurança

34 X.509 O certificado pode vincular a chave a um atributo, ex: proprietário maior de 18 anos. Definiu-se um padrão para certificados, o X.509. Campos básicos do X.509. Segurança

35 Infraestrutura de Chave Pública (1)
Que tal uma única CA emitir certificados para todo o mundo? Escalabilidade… Que tal uma CA central delegar autoridade a várias CAs no mundo que usam sua chave? Pontos de falha... Que tal uma hierarquia, cada CA regional com sua chave, mas certificadas por uma entidade central mundial? Problema do BigBrother de novo... Soluçao: Infraestrutura de Chave Pública => hierarquia a partir de um ponto, âncora de confiança. Existem várias raízes o que evita uma única autoridade confiável no mundo. Navegadores modernos são previamente carregados com chaves públicas de mais de 100 raízes. Segurança

36 Infraestrutura de Chave Pública (2)
(a) A hierarchical PKI. (b) A chain of certificates. Segurança

37 Revogação de Certificados
Certificados podem ser revogados, por algum abuso, ou se a chave foi exposta, ou até a chave da CA foi exposta, ou o prazo de validade expirou. A CA deve emitir periodicamente uma lista dos certificados revogados, a CRL (Certificate Revocation List), com os números dos revogados. Problema: Como saber se o certificado que você está conferindo não foi revogado? Consultar a CRL, que fica na CA ? Ou guardar as CRLs nos diretórios onde ficam os certificados, pois a CRL é assinada e não pode ser adulterada... Segurança

38 IPSec (1) Havia uma batalha sobre onde deveria acontecer a criptografia, resultou no projeto IPSec com vários serviços à escolha dos usuários. Usa chave simétrica pelo desempenho. Usa um tipo de conexão onde a chave é válida, chamada de SA Security Association onde trafega um identificador de segurança desta conexão. Há um arcabouço para o estabelecimento de chaves: ISAKMP – Internet Security Association and Key Management Protocol. RFC 2408: “ISAKMP is not bound to any specific cryptographic algorithm, key generation technique, or security mechanism”. Flexível para acomodar diversas situações. Segurança

39 IPSec (2) Há 2 modos: Modo de transporte: insere cabeçalho
Modo tunelamento: encapsula em novo pacote IP – só o ponto final do túnel, em geral o firewall, precisa conhecer o IPSec. Authentication Header – AH não oferece sigilo, só integridade. Verifica integridade de campos do cabeçalho IP que não se alteram, basicamente dos IPs, não usando TTL. Segurança

40 IPSec: Modo transporte
Próximo cabeçalho: aponta para o protocolo de transporte. Indice de parâmetros de segurança: identificador da conexão: permite ao receptor identificar a chave em um BD HMAC (Hashed Message Authentication Code): assinatura digital da carga útil; método mais rápido que do PKI, usa a chave compartilhada. Contra ataques de reprodução Segurança

41 Política de Segurança Uma política de segurança é um conjunto de regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. A implementação de uma política de segurança baseia-se na aplicação de regras que limitam o acesso às informações e recursos de uma determinada organização. Essa política define o que é, e o que não é permitido em termos de segurança, durante a operação e acesso de um sistema. Segurança

42 Firewall Em edifícios, os firewalls servem para impedir que o fogo se propague de uma parte do edifício para outra. Uma Internet firewall serve um fim semelhante, isto é, impede que os perigos da Internet se propaguem para a rede local da instituição Firewall é o nome dado ao dispositivo de rede que tem por função regular o tráfego de rede entre redes distintas, impedir a transmissão de dados nocivos ou não autorizado de uma rede a outra. Devem inspecionar o tráfego de acordo com a política de segurança estabelecida. Segurança

43 Firewall - 2 Na prática um firewall é mais parecida com o fosso e a ponte levadiça de um castelo medieval, servindo vários fins: obriga a que todas as entradas se efetuem via um ponto cuidadosamente controlado e monitorado; impede os atacantes de se aproximarem das defesas internas; obriga a que todas as saídas se efetuem via um ponto cuidadosamente controlado e monitorado. Segurança

44 Firewall (3) Configuração onde o Firewall protege a rede interna
Segurança

45 Iptables O firewall do Linux.
Quando um pacote chega o firewall verifica se há alguma regra que se aplica a ele. Caso não haja, é aplicada a política defaut. Constituído por 3 “chains”: INPUT – Pacote entrando na máquina de firewall. OUTPUT – Pacote saindo da máquina de firewall. FORWARD – Pacote que entram em uma interface do firewall e saem por outra. ufw – Uncomplicated firewall do Ubuntu – cria suas chains e ao habilitá-lo (ufw enable) já cria regras default. Segurança

46 Iptables - chains É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será silenciosamente descartado. -L [chain] lista as regras de uma chain -F [chain] apaga todas as regras de um chain -Z [chain] limpa todos os contadores de bytes e pacotes de uma chain Para manipular regras de chains A chain rulespec acrescenta uma regra a uma chain I chain [rulenum] insere regra numa posição da chain R chain rulenum troca posição de regra na chain D chain apaga regra de uma chain Segurança

47 Iptables - Variáveis É possível definir variáveis mnemônicas:
MY_IP=“ xxx.xxx.xxx.xxx“ #IP externo do firewall LOOPBACK=" /8“ #End. da interface de loopback EXTERNAL_INT=“ eth0“ #interf. do frw ligada à Internet CLASS_A=" /8" #class A private network CLASS_B=" /12" #class B private network CLASS_C=" /16" #class C private network INTERNAL_NET=“ xxx.xxx.xxx.xxx/xx” Segurança

48 Iptables – Políticas default
#Set up the default policy iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP #Allowing unlimited traffic on the loopback interface iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Segurança

49 Iptables – Anti-spoofing
#Refuse packets claiming to be from you. iptables –A INPUT –i $EXTERNAL_INT –s $MY_IP –j DROP iptables –A INPUT –i $EXTERNAL_INT –s $DMZ_NET –j DROP iptables –A INPUT –i $EXTERNAL_INT –s $INTERNAL_NET –j DROP #Refuse packets claiming to be from a Class A, B, C private network iptables –A INPUT –i eth1 –s $CLASS_A –j DROP iptables –A INPUT –i eth1 –s $CLASS_B –j DROP iptables –A INPUT –i eth1 –s $CLASS_C –j DROP Segurança

50 Iptables – TCP Flags # All of the bits are cleared
iptables –A INPUT –p tcp –tcpflags ALL NONE –j DROP # SYN and FIN are both set iptables –A INPUT –p tcp –tcpflags SYN,FIN SYN,FIN –j DROP # SYN and RST are both set iptables –A INPUT –p -tcp –tcpflags SYN,RST SYN,RST –j DROP # FIN and RST are both set iptables –A INPUT –p tcp –tcpflags FIN,RST FIN,RST –j DROP (Obs: tcpflags <flags examined> <flags set> Segurança

51 Iptables – Regras #Allows already stablished connections
iptables –A INPUT –m state --state ESTABLISHED,RELATED –j ACCEPT #liberar acesso ssh vindo da Intranet iptables –A INPUT –s $INTERNAL_NET –p tcp –dport ssh –j ACCEPT ou iptables –A INPUT –i $INTERNAL_INT –p tcp –dport ssh –j ACCEPT Obs: -m –módulo, --state – opção do módulo. Segurança

52 VPN Rede privada com linha dedicada: seguras, mas com custo elevado.
Rede virtual privada – construir túneis entre firewalls, provavelmente com IPSec. Estabelecer SA. Segurança

53 Segurança em Redes sem Fio
Potencialmente mais perigosas que as redes com fio. Padrão i, conhecido como WPA2, utiliza o AES como algoritmo de criptografia. Cenários possíveis: Ambiente doméstico: cada usuário entra com a senha conhecida, através da qual se derivam chaves de sessão. Ambiente corporativo: há um servidor de autenticação e um protocolo que informa como o cliente e servidor interagem (EAP – Extensible Authentication Protocol) Segurança

54 SSL (1) Secure Sockets Layer. Constrói conexão segura entre dois soquetes, incluindo: Negociação de parâmetros entre cliente e servidor; Autenticação mútua; Comunicação secreta; Proteção da Integridade. Posicionamento do SSL na pilha de protocolos. O chamado HTTPS é o HTTP sobre SSL Segurança

55 SSL (2) Consiste de 2 subprotocolos: 1 para estabelecer a conexão, outro para utilizá-la. Versão simplificada do estabelecimento de conexão A partir da chave-mestra e dos nonces, deriva-se uma chave de sessão, Alice informa que deve mudar de cifra e quando terminou. Segurança

56 SSL (3) Provavelmente o usuário Alice não tem certificado, pode usar senha para se autenticar (fora do escopo do SSL). Admite vários algoritmos de criptografia, dá preferência aos mais rápidos (não AES) como RC4 ou 3DES e MD5. A padronização do SSL pelo IETF resultou no TLS (Transport Layer Security) que prefere o AES, e não interopera com o SSL. A maioria dos navegadores implementa os dois. Segurança

57 Questões Sociais A Internet e sua tecnologia de segurança é uma área para a qual convergem questões sociais e a política pública. Questões importantes: Até que ponto a privacidade é um direito? Até que ponto anonimato é benéfico? Alice codifica sua mensagem com E3, depois E2, finalmente E1. Em E1 se retira o primeiro cabeçalho e encaminha sem deixar rastros. Assim sucessivamente os respostadores no meio do caminho. Segurança

58 Questões Sociais - 3 Direitos autorais:
Os criadores de Propriedade Intelectual tem o direito de explorá-la por um período de 50 anos somado à vida do autor. Após este período ela passa para domínio público. É crime manter no meu disco rígido uma música pela qual paguei, baixei legalmente, apenas porque outras pessoas podem encontrá-la? Quem solicitou é que fez o crime… Lei americana: é crime frustrar mecanismos de proteção presentes em obras protegidas por direitos autorais. Tenta-se equilibrar interesses de proprietários e interesse público. Segurança

Carregar ppt "Segurança de Redes Recentemente a área de Segurança foi agitada por Edward Snowden, ex-analista de inteligência americano que tornou públicos detalhes."

Apresentações semelhantes

André Oliveira Castro Marcelo Siqueira Pereira Filho

André Oliveira Castro Marcelo Siqueira Pereira Filho
Capítulo 8: Segurança em Redes

Capítulo 8: Segurança em Redes
Redes de comunicação Aspectos de segurança de redes Aula 16

Redes de comunicação Aspectos de segurança de redes Aula 16
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.

1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.
Sistemas de Informação Redes de Computadores

Sistemas de Informação Redes de Computadores
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Segurança de Perímetro

Segurança de Perímetro
Equipe: Cassiano C. Casagrande Rodrigo Pereira

Equipe: Cassiano C. Casagrande Rodrigo Pereira
Criptografia e segurança de redes Chapter 14

Criptografia e segurança de redes Chapter 14
Criptografia e Segurança em Redes Capítulo 9 Quarta Edição William Stallings William Stallings Slides de Lawrie Brown Tradução: Bruno e Mario.

Criptografia e Segurança em Redes Capítulo 9 Quarta Edição William Stallings William Stallings Slides de Lawrie Brown Tradução: Bruno e Mario.
Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16
Funções de hash unidirecionais

Funções de hash unidirecionais
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Segurança de Sistemas e Redes

Segurança de Sistemas e Redes
Criptografia II.

Criptografia II.
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN

Apresentações semelhantes

Anúncios Google