A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

2004, Edgard Jamhour Professor Edgard Jamhour Segurança em Sistemas de Informação.

PublicouMatheus Prisco Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "2004, Edgard Jamhour Professor Edgard Jamhour Segurança em Sistemas de Informação."— Transcrição da apresentação:

1

2 2004, Edgard Jamhour Professor Edgard Jamhour Segurança em Sistemas de Informação

3 2004, Edgard Jamhour Segurança em Sistemas de Informação

4 2004, Edgard Jamhour Criptografia e Decriptografia Texto Aberto (PlainText) Texto Fechado (Ciphertext) CRIPTOGRAFIA DECRIPTOGRAFIA

5 2004, Edgard Jamhour Sistema de Criptografia Simples Caesar Cipher: usado por Julius Caesar –Substituição de letras pelas letras deslocadas de N. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Nada de novo no front. Qdgd gh qryr qr iurqw. N = 3 N = 4 Rehe hi rszs rs jvstx.

6 2004, Edgard Jamhour Espaço das Chaves (KeySpace) Uma chave é um valor específico do espaço de chaves (keyspace). No exemplo anterior: –Keyspace = 25 –N = 3, é a chave específica. Segurança = Tamanho do Espaço de Chaves. –Exemplo: chaves de 128 bits = 2 128 chaves Um computador capaz de 1 bilhões de chaves por segundo: levaria 10781000000000 bilhões de anos.

7 2004, Edgard Jamhour Criptografia com chave Secreta e chave Publica Dois sistemas de criptografia são usados atualmente: –sistemas de chave secreta (secret-key) trabalha com uma única chave. –sistemas de chave pública (public-key) trabalha com pares de chave.

8 2004, Edgard Jamhour Chave Secreta (Criptografia Simétrica) Texto Simples (plaintext) Texto Codificado (ciphertext) Texto Simples (plaintext) Chave Secreta Algoritmo de Criptografia Algoritmo de Decriptografia Chave Secreta =

9 2004, Edgard Jamhour DES – Data Encryption Standard Um dos algoritmo de chave secreta mais difundido é o DES. –Originalmente Desenvolvido pela IBM. –Este algoritmo é padronizado pela ANSI, e foi adotado como algoritmo oficial pelo governo americano. DES criptografia blocos de 64 bits com chaves de 56 bits. –DES utiliza técnicas baseadas em permutação sucessiva de bits.

10 2004, Edgard Jamhour Modos de Operação O DES possui vários modos de operação, dependendo da maneira como os blocos de 64 bits de uma mesma mensagem são criptografados. Alguns exemplos são: –ECB: Electronic Codebook Mode –CBC: Cipher Block Chaining

11 2004, Edgard Jamhour MODO ECB DADOS BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) O Modo ECB divide a mensagem em blocos de 64 bits, e criptografa cada bloco de maneira independente.

12 2004, Edgard Jamhour MODO CBC DADOS BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) XOR BLOCO 64 bits CRIPTOGRAFIA BLOCO 64 bits (cipher text) XOR O Metodo CBC torna a criptografia de um bloco dependente do bloco anterior.

13 2004, Edgard Jamhour Chave Pública = CRIPTOGRAFIA ASSIMÉTRICA Sistema de Criptografia Assimétrico –Utiliza um par de chaves. –Uma chave publica para criptografar a mensagem. –Uma chave privada para decriptografar a mensagem. A chave pública não é secreta. A chave privada é secreta. A chave pública deve ser distribuída para os usuário que desejarem enviar uma mensagem com segurança.

14 2004, Edgard Jamhour Chave Pública (Criptografia Assimétrica) Texto Simples (plaintext) Texto Codificado (ciphertext) Texto Simples (plaintext) Chave Pública Chave Privada Algoritmo de Criptografia Algoritmo de Decriptografia 

15 2004, Edgard Jamhour Chave Pública e Chave Secreta Receptor (servidor) Transmissor (cliente) Chave privada Chave pública 1 2 3 (chave secreta aleatória) 4 COMUNICAÇÃO SEGURA

16 2004, Edgard Jamhour RSA (Rivest, Shamir, Adleman) Sejam p, q e e números primos (> 512 bits). Calcula-se: –n = p.q e ed = 1 mod (p-1)(q-1) As chaves são definidas da seguinte maneira: –Chave pública: (n,e) e Chave privada: d Para criptografar uma mensagem “m” efetua-se a operação: –s = m e mod n Para decriptografar, efetua-se a operação: –m = s d mod n

17 2004, Edgard Jamhour RSA O algoritmo RSA é muito mais lento que o DES, pois os cálculos efetuados são complexos. Por utilizar números primos, o RSA precisa de chaves muito grandes para reproduzir o mesmo grau de segurança do DES. As chaves em RSA são em geral da ordem de 1024 bits.

18 2004, Edgard Jamhour Assinatura Digital com Chave Pública Permite ao receptor verificar a integridade da mensagem: –O conteúdo não foi alterado durante a transmissão. –O transmissor é quem ele diz ser. Assinatura digital Chave privada Algoritmo de assinatura digital Mensagem isto é isto é segredo segredo

19 2004, Edgard Jamhour Implementação da Assinatura Digital ABFC01 FE012A0 2C897C D012DF 41 DIGESTF18901B Algoritmo de Hashing ASSINATURA DIGITAL ABFC01 FE012A0 2C897C D012DF 41 Mensagem com Assinatura Digital MENSAGEM aberta ASSINATURA criptografada Algoritmo de Cripografia

20 2004, Edgard Jamhour Geração e Validação das Assinaturas xxxx yyyy zzzz Assinatura Digital DIGEST 1B2A37... Criptografia com chave privada Algoritmo de Hashing Rede Assinatura Digital xxxx yyyy zzzz DIGEST Decriptografia com chave pública DIGEST Algoritmo de Hashing COMPARAÇÃO RECEPTOR TRANSMISSOR

21 2004, Edgard Jamhour Verificação da Integridade da Mensagem Transmissor (A) Receptor (B) MENSAGEM ASSINATURA DIGITAL CHAVE PRIVADA DE A CHAVE PÚBLICA DE A O receptor precisa ter a chave pública do transmissor para verificar a assinatura.

22 2004, Edgard Jamhour Autoridade Certificadora C.A. (Certification Authority) I.D. do Proprietário Assinatura Digital Autoridade Certificadora (Verisign, Certisign, Etc.) Chave pública (e.g., Banco do Brasil) CHAVE PRIVADA I.D. da CA Certificado X509 www.bancodobrasil.com.br Banco do Brasil S.A. Brasilia, DF, Brasil www.verisign.com Verisign, Inc.

23 2004, Edgard Jamhour Estratégias de Certificação O software que recebe o certificado (por exemplo, o browser) deve possuir a chave pública da autoridade certificadora. Base de chaves I.D. do Proprietário Assinatura Eletrônica I.D. da Autoridade Certificadora VERISIGN: www.verisign.com Off-line On-linewww.bancodobrasil.com.br

24 2004, Edgard Jamhour PKI (Public Key Infrastructure) O termo PKI (Infraestrutura de chave pública) é utilizado para descrever o conjunto de elementos necessários para implementar um mecanismo de certificação por chave pública. EMPRESA A EMPRESA B CA (Autoridade Certificadora) certificados

25 2004, Edgard Jamhour Como a criptografia pode ser implementada? Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Física Aplicações Tecnologia heterogênea aplicação transporte rede enlace física Seqüência de empacotamento

26 2004, Edgard Jamhour SSL SSL: Secure Sockets Layer HTTPTELNET SSL TCP/IP POP 8011023 HTTPsTELNETsPOPs 443995992 Sockets

27 2004, Edgard Jamhour Exemplo: HTTPS CLIENTE SERVIDOR SOCKS SSL >1023 SOCKS SSL 443 80 HTTP HTTPS Recurso Não Protegido Recurso Protegido X

28 2004, Edgard Jamhour SSL e TLS SSL: Secure Socket Layer –Definido pela Netscape –Versão atual: 3.0 TLS: Transport Layer Security –Definido pelo IETF –Versão atual: 1.0 –RFC 2246 (Janeiro de 1999) O TLS 1.0 é baseado no SSL 3.0, mas eles possuem diferenças que os tornam incompatíveis.

29 2004, Edgard Jamhour TLS O TLS define dois sub-protocolos: –TLS Record Protocol Utilizado para encapsular os protocolos das camadas superiores. –TLS Handshake Protocol Utilizado para negociar o algorítmo e as chaves de criptografia antes que o primeiro byte da comunicação segura seja transmitido.

30 2004, Edgard Jamhour SSL/TLS

31 2004, Edgard Jamhour SSL Record Protocol

32 2004, Edgard Jamhour TLS Os objetivos do TLS são: –Segurança criptográfica entre dois pontos. –Interoperabilidade: programadores independentes devem ser capazes de desenvolver capazes de se comunicar, sem que um conheça o código do outro. –Extensibilidade: novos algorítmos de criptografia podem ser incorporados quando necessário. –Eficiência: reduzir o uso de CPU e o tráfego de rede a níveis aceitáveis.

33 2004, Edgard Jamhour Secure Socket Layer (SSL) e Transport Layer Security (TLS) O SSL/TLS permite executar duas funções básicas: –autenticação entre o cliente e o servidor. –criptografia na troca de mensagens. SSL/TLS O cliente se autentica para o servidor (opctional) O servidor se autentica para o cliente (obrigatório)

34 2004, Edgard Jamhour Identificação do CA Autenticação do Servidor SSL/TLS permite ao usuário confirmar a identidade do servidor. SSL Identificação do Servidor Chave pública do servidor Assinatura Digital de uma CA

35 2004, Edgard Jamhour Certificados de Servidor

36 2004, Edgard Jamhour Autenticação do Cliente SSL permite ao servidor identificar a identidade do cliente. SSL Identificação do CA Identificação do Cliente Chave pública do Cliente Assinatura Digital de uma CA

37 2004, Edgard Jamhour Certificados de Cliente

38 2004, Edgard Jamhour Criptografia da Comunicação Após a certificação, o SSL/TLS cria uma chave de sessão que garante: –Confidencialidade e Proteção contra Tampering (alteração dos dados em transito). info (chave secreta aleatória) info

39 2004, Edgard Jamhour TLS Handshake

40 2004, Edgard Jamhour Algoritmos Padronizados para SSL/TLS Strongest cipher suite. –Triple DES (168-bit encryption com autenticação) Strong cipher suites –RC4, criptografia de 128-bits (utiliza o MD5 para autenticação) é o mais rápido da categoria –RC2, criptografia de 128-bits (utiliza o MD5 para autenticação) –DES, que suporta criptografia de 56-bits (utiliza o SHA-1 para autenticação).

41 2004, Edgard Jamhour ANEXO Segurança em Sistemas de Informação Redes Virtuais Privadas e Extranets

42 2004, Edgard Jamhour Motivação para as VPN’s PROBLEMA: –Como construir sistemas de informação de grande amplitude geográfica sem arcar com custos excessivos com a infra-estrutura de comunicação. Empresa Filial Filial Parceiro Funcionário Representante Parceiro

43 2004, Edgard Jamhour Soluções Usuais Utilizar o enlaces de comunicação temporários –LINHAS DISCADAS: sistema público de telefonia Utilizar enlaces de comunicação permanentes –LINHAS DEDICADAS ou PRIVATIVAS: Serviços disponibilizados por empresas de telecomunicação.

44 2004, Edgard Jamhour Acesso por linha discada Serviço de Acesso Remoto: –Implementado pelos sistemas operacionais comerciais mais difundidos. –Permite que um usuário acesse um servidor por linha discada. MODEM PRECISA DE UM MODEM PARA CADA USUÁRIO PPP: POINT TO POINT PROTOCOL RAS OU NAS PSTN REDE

45 2004, Edgard Jamhour PPP: Point to Point Protocol Permite criar conexão de rede através de links ponto a ponto. –O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto. –O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados. O PPP permite transportar diversos protocolos de rede. IP IPX link físico

46 2004, Edgard Jamhour Acesso por linhas privativas EMPRESAFILIAL Links Redundantes Alto custo e Pouca Flexibilidade

47 2004, Edgard Jamhour Tecnologias para Linhas Privativas Linhas privativas podem ser implementadas com: –ATM ou Frame-Relay Comunicação Orientada a Conexão –Connecion-Oriented Ambas as tecnologias permitem dividir a banda de um enlace físico através de circuitos virtuais. ATM: –VPI e VCI FRAME RELAY –DLCI

48 2004, Edgard Jamhour Circuitos Virtuais ATM ATM utiliza uma estrutura hierárquica para criar circuitos virtuais. VPIVCIDADOS CÉLULA

49 2004, Edgard Jamhour Frame-Relay Frame-relay utiliza uma estrutura simples para criação de circuitos virtuais. DLCIDADOS

50 2004, Edgard Jamhour Backbone Embratel

51 2004, Edgard Jamhour Backbone Embratel

52 2004, Edgard Jamhour Rede Frame Relay HUB roteador FRAD usual FRAD REDE ATM FRAME-RELAY ATM Interface Frame-Relay

53 2004, Edgard Jamhour CIR - Committed Information Rate bits/s tempo CIR = média no intervalo Tc CIR

54 2004, Edgard Jamhour SLA: Service Level Agreement SLA define as métricas usadas para descrever o desempenho de um serviço Frame Relay. Essas métricas pode ser usadas para estabelecer um contrato entre o provedor de serviço e um usuário ou entre provedores de serviço. –Frame Transfer Delay –Frame Delivery Ratio –Data Delivery Ratio –Service Availability

55 2004, Edgard Jamhour SERVIÇO Intranet EMBRATEL BACKBONE EMBRATEL QUALIDADE DE SERVIÇO CONTROLADA Empresa A Empresa B Empresa A Internet Mundial INTERNET VIA EMBRATEL Empresa D SEM QUALIDADE DE SERVIÇO DLCI=1 DLCI=10

56 2004, Edgard Jamhour VPN X Circuitos Virtuais Circuitos Virtuais ATM ou Frame Relay –Objetivo: Garantia de Qualidade de Serviço (QoS). –Princípio: Criam canais com QoS controlado. –Limitação: Depende do provedor de serviço.

57 2004, Edgard Jamhour VPN X Circuitos Virtuais VPN: Virtual Private Networks –Objetivos: Oferecer segurança através de redes IP potencialmente inseguras. Permitir o transporte de outros protocolos de rede sobre a Internet. –Princípios: Encapsulamento adcional de quadros e pacotes. –Limitação: Não oferece qualidade de serviço

58 2004, Edgard Jamhour Tipos de VPN ENTRE DUAS MÁQUINAS ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) redeInsegura redeInsegura redeInsegura

59 2004, Edgard Jamhour VPN = Tunelamento redeInsegura pacote protegido redeInsegura pacote desprotegido redeInsegura

60 2004, Edgard Jamhour Exemplo: VPN de Acesso Vendedor que precisa acessar a rede corporativa de um ponto remoto. INTERNET CATÁLOGO DE PRODUTOS SISTEMA DE PEDIDOS SERVIDOR DE VPN

61 2004, Edgard Jamhour Intranet VPN Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicação pública (e.g. Internet). INTERNET EMPRESA VPN

62 2004, Edgard Jamhour Extranet VPN Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros,etc.). INTERNET PARCEIRO VPN EMPRESA PARCEIRO VPN

63 2004, Edgard Jamhour Conceitos Básicos de uma VPN TUNELAMENTO: –Permite tranportar pacotes com IP privado ou com outros protocolos de rede através da Internet. AUTENTICAÇÃO: –Permite controlar quais usuários podem acessar a VPN –Reduz o risco de ataques por roubo de conexão e spoofing. CRIPTOGRAFIA: –Garante a confidencialidade dos dados transportados através da VPN.

64 2004, Edgard Jamhour TUNELAMENTO TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. Existem dois tipos de Tunelamento: –Camada 3: Transporta apenas pacotes IP –Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. CABEÇALHO QUADRO CABEÇALHO PACOTE CRC CABEÇALHO QUADRO CABEÇALHO IP CRC CABEÇALHO PACOTE IP TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 DADOS CABEÇALHO QUADRO CABEÇALHO PACOTE IP CRC DADOS CABEÇALHO QUADRO

65 2004, Edgard Jamhour TUNELAMENTO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO FISICA ENLACE REDE SSL APLICAÇÃO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO TRANSPORTE REDE IP (VPN) ENLACE PPP Aplicação S.O. Placa de Rede Pilha Normal SSL Tunelamento Camada 3 Tunelamento Camada 2

66 2004, Edgard Jamhour Exemplo REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F1 IP F4 DADOSIP Q 2 IP Q1 IP F1 IP F4 DADOS

67 2004, Edgard Jamhour Autenticação EMPRESA FILIAL INTERNET LOGIN

68 2004, Edgard Jamhour Criptografia REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F DADOSIP Q2 IP Q1 IP F1 IP F4 DADOS TODO O PACOTE, INCLUINDO O CABEÇALHO É CRIPTOGRAFADO. XXXXXXXXXXXXXXXX

69 2004, Edgard Jamhour PROTOCOLOS PARA VPN L2F: –Layer 2 Fowarding Protocol (Cisco) –Não é mais utilizado. PPTP: –Tunelamento de Camada 2 –Point-to-Point tunneling Protocol L2TP: –Tunelamento de Camada 2 –Level 2 Tunneling Protocol (L2TP) –Combinação do L2F e PPTP IPSec: –Tunelamento de Camada 3 –IETF (Internet Engineering Task Force)

70 2004, Edgard Jamhour Protocolos para VPN ProtocoloTunelamentoCriptografiaAutenticaçãoAplicação PPTPCamada 2Sim VPN de Acesso Iniciada no Cliente L2TPCamada 2NãoSimVPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsecCamada 3Sim VPN de Acesso Intranet e Extranet VPN IPsec e L2TP Camada 2Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN

71 2004, Edgard Jamhour PPTP: Point-to-Point tunneling Protocol Definido pelo PPTP Forum: –Ascend Communication, U.S. Robotics, 3Com Corporation, Microsoft Corporation e ECI Telematics –Formalizado por RFC Requisitos para Utilização: –Os sistemas operacionais do cliente e do servidor devem suportar PPTP –PPTP é o protocolo de tunelamento mais difundido no mercado: Windows, Linux, Roteadores, etc...

72 2004, Edgard Jamhour Cenários de Utilização do PPTP Cenários: –A) Acesso por modem: O cliente estabelece uma conexão com um provedor (ISP) e depois com o servidor de VPN. –B) Acesso por placa de rede: O cliente já está na Internet, ele se conecta diretamente ao servidor de VPN. O cliente e o servidor da VPN se encontram na mesma rede corporativa.

73 2004, Edgard Jamhour Tipos de Conexão O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede. Protocolo TCP/IP IPX/SPX NetBEUI possui protocolo PPTP instalado e serviço de dial up possui protocolo PPTP instalado e serviço RAS configurado Protocolo TCP/IP IPX/SPX NetBEUI permanente discado PLACA DE REDE MODEM

74 2004, Edgard Jamhour Opções de Configuração Opção no Cliente: - Conexões Virtuais Simultâneas (1 no WINDOWS 95/98). - Criptografia - Método de Autenticação Opções no Servidor: - Número de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IP’s - Tipo de Autenticação - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede. PORTAS VPN PARA DISCAGEM PORTAS VPN PARA RECEPÇÃO discado rede

75 2004, Edgard Jamhour Conexão PPTP PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

76 2004, Edgard Jamhour Topologias de Conexão O servidor VPN libera acesso a toda rede RAS Acesso apenas a esta máquina Outro Servidor da Rede PORTAS VPN WINDOWS 95/98 WINDOWS NT WINDOWS 95/98 WINDOWS NT/LINUX

77 2004, Edgard Jamhour Exemplo 1) Situação Inicial –Considere um cliente e um servidor conectados por uma rede TCP/IP. –Ambos possuem endereços pré-definidos. IP NORMAL1 IP NORMAL2 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET EXEMPLO: 192.168.0.1.. 192.168.0.254

78 2004, Edgard Jamhour Estabelecimento da Conexão PPTP 2) O cliente disca para o endereço IP do servidor. –Nesse processo, o cliente deve fornecer seu login e senha. –A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up. –O servidor atribui um IP para o cliente, e reconfigura suas rotas. IP NORMAL2 IP NORMAL1 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET LOGIN SENHA IP VPN E ROTAS

79 2004, Edgard Jamhour IP’s de tunelamento Uma conexão PPTP que encapsula protocolos TCP/IP em outro datagrama IP envolve a utilização de 2 pares de IP: –IP sem tunelamento cliente: IP NORMAL2 (e.g. 210.0.0.1) servidor: IP NORMAL1 (eg. 200.0.0.1) –IP com tunelamento cliente: IP VPN2 (192.168.0.2) servidor: IP VPN1 (192.168.0.1)

80 2004, Edgard Jamhour Rede Virtual Os clientes conectados a rede virtual utilizam o servidor RAS como roteador. VPN SERVIDOR RAS

81 2004, Edgard Jamhour Comunicação com Tunelamento IPN2 IPN1 SERVIDOR RAS IPVPN1IPVPN2 IPN2IPN1IPVPN2IPVPN3 CLIENTE IPN1IPN3IPVPN2IPVPN3 IPN3 IPVPN3 CLIENTE

82 2004, Edgard Jamhour Porta de Controle O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723. Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso. 1723 > 1024 configuração do link autenticação configuração de rotas TCP IP: Protocol Type = 2F

83 2004, Edgard Jamhour Exemplo de VPN com Firewall INTERNET 1723>1023 IP_Servidor_VPN FIREWALL: Liberar a porta TCP 1723 no IP = Servidor_VPN Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN

84 2004, Edgard Jamhour Segurança do PPTP PPTP fonece dois serviços de segurança: –Autenticação –Criptografia de Dados Diversos tipos de autenticação podem ser utilizadas: –CHAP: Standard Encrypted Authentication –MS-CHAP: Microsoft Encrypted Authentication Unico Método que Permite Criptografia –PAP: Password Authentication Protocol Autenticação Sem Criptografia

85 2004, Edgard Jamhour Autenticação por CHAP CHAP: Challeng HandShake Authentication Protocol –Definido pela RFC 1994 como uma extensão para PPP Não utiliza passwords em aberto Um password secreto, criado apenas para a sessão, é utilizado para o processo de autenticação. CHAP permite repetir o processo de validação da senha durante a conexão para evitar ataques por roubo de conexão.

86 2004, Edgard Jamhour Autenticação CHAP O processo utilizado é do tipo challenge-response: –a) O cliente envia sua identificação ao servidor (mas não a senha) –b) O servidor responde enviando ao cliente uma “challenge string”, única, criada no momento do recebimento do pedido. –c) O cliente aplica um algoritmo RSA’s MD5 (one-way hashing), e combinado-se password e a string recebida. –d) O servidor compara a senha criptografada recebida pelo usuário aplicado a mesma operação na senha armazenada localmente.

87 2004, Edgard Jamhour Autenticação no CHAP 1. Pedido de Login (Identificação)2. Challenge String2. One-Way-Hash(Password+Challenge String) = RSA’s MD5 5 MD5 Senha + Challenge String Digest COMPARAÇÃO 4. VALIDAÇÃO 5. OK http://www.cisco.com/warp/public/770/chapvuln-pub.shtml

88 2004, Edgard Jamhour MD4 e MD5 O Algoritmo MD5: Aceita uma mensagem de entrada de tamanho arbitrário e gera como resultado um “fingerprint” ou “message digest” de tamanho fixo (128 bits). –Probabilidade de duas mensagens gerarem o mesmo digest: "computationally infeasible" Definido na RFC 1321. O Algoritmo MD4: Versão anterior do MD5, menos segura e mais rápida. –Probabilidade de duas mensagens gerarem o mesmo digest: 2 64 Definido na RFC 1320. O site do RSA (www.rsasecurity.com) indica que o MD4 deve ser considerado quebrado (1999).www.rsasecurity.com

89 2004, Edgard Jamhour Autenticação por MS-CHAP MS-CHAP: Microsoft - Challenge HandShake Authentication Protocol Duas versões: –Versão 1: gera chaves criptográficas a partir apenas do password, por isso a chave não muda de uma sessão para outra. a autenticação é one-way: o cliente prova a indentidade para o servidor, mas não o contrário. a mesma chave de criptografia é utilizada para enviar e receber dados. –Versão 2 (RFC 2759): gera chaves criptográficas a partir do password e da challenge string, por isso a chave muda a cada sessão. a autenticação é two-way (mutual authentication). gera uma chave de criptografia diferente para transmitir e para receber dados.

90 2004, Edgard Jamhour Autenticação no MS-CHAP 1. Pedido de Login (Identificação)2. Challenge String (CS1)3. Challenge String (CS2) + MD4 (CS1+Password) 5) chave (CS2 + password) chave (CS1 + password) RSA’s RC4 40 ou 128 bits (negociado) 6) chave (CS1 + password) chave(CS2 + password) RSA’s RC4 40 ou 128 bits (negociado) 4. OK + MD4(CS1, CS2, Password)

91 2004, Edgard Jamhour L2TP: Layer Two Tunneling Protocol Baseado nos Protocolos: –PPTP –L2F As mensagens do protocolo L2TP são de dois tipos: –Mensagens de controle: Utilizadas para estabelecer e manter as conexões –Mensagens de dados: Utilizadas para transportar informações

92 2004, Edgard Jamhour PPTP e L2TP PPTP: –Utiliza uma conexão TCP para negociar o túnel, independente da conexão utilizada para transferir dados. –Não possui mecanismos fortes de integridade dos pacotes (baseia-se apenas no PPP). –Túneis são usualmente criados pelo cliente. L2TP: –Envia tanto as mensagens de controle quanto os dados encapsulados em datagramas UDP. –No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L2TP. –Túneis são usualmente criados automaticamente pelo NAS.

93 2004, Edgard Jamhour Tunelamento L2TP O tunelamento no L2TP é feito com o auxílio do protocolo UDP. Observe como o L2TP é construído sobre o protocolo PPP.

94 2004, Edgard Jamhour Tipos de VPN de Acesso As VPNs de acesso podem ser de dois tipos, dependendo do ponto onde começa a rede segura: A) Iniciada pelo Cliente B) Iniciada pelo Servidor de Acesso a Rede (NAS)

95 2004, Edgard Jamhour Iniciada pelo Cliente PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

96 2004, Edgard Jamhour Iniciada pelo Servidor de Acesso a Rede (NAS) PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO PPP TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

97 2004, Edgard Jamhour Conexão L2TP Típica PSTN INTERNET EMPRESA USUÁRIO REMOTO PPP TUNEL LAC MODEM LNS L2TP PPP USUÁRIO REMOTO MODEM LAC: L2TP Access Concentrator LNS: L2TP Network Server

98 2004, Edgard Jamhour L2TP Possui suporte as seguintes funções: –Tunnelamento de múltiplos protocolos –Autenticação –Anti-spoofing –Integridade de dados Certificar parte ou todos os dados –Padding de Dados Permite esconder a quantidade real de dados Transportados Não possui suporte nativo para criptografia. Para se obter criptografia, o L2TP deve ser combinado com o IPsec.

99 2004, Edgard Jamhour Conclusão SSL –Implementação feita pela aplicação VPN –Implementação feita pelo S.O. CAMADA 2: –E.g. PPTP e L2TP: Encapsula protocolos diferentes CAMADA 3: –e.g. IPsec = Específica para IP

Carregar ppt "2004, Edgard Jamhour Professor Edgard Jamhour Segurança em Sistemas de Informação."

Apresentações semelhantes

Universidade Federal do Rio de Janeiro

Universidade Federal do Rio de Janeiro
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.

1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.
Criptografia Assinaturas Digitais Certificados Digitais

Criptografia Assinaturas Digitais Certificados Digitais
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Criptografia, Certificados Digitais SSL

Criptografia, Certificados Digitais SSL
VPN – Redes Virtuais Privadas

VPN – Redes Virtuais Privadas
Professor Edgard Jamhour

Professor Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Segurança da Camada de Transporte

Segurança da Camada de Transporte
Internet e Intranet A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite.

Internet e Intranet A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite.
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
Segurança de Sistemas e Redes

Segurança de Sistemas e Redes
VPN (Virtual Private Network)‏

VPN (Virtual Private Network)‏
VPN (Virtual Private Network)‏

VPN (Virtual Private Network)‏
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour
Software de Rede Willamys Araújo.

Software de Rede Willamys Araújo.
Auxilio a Resolução da Lista de Exercícios

Auxilio a Resolução da Lista de Exercícios

Apresentações semelhantes

Anúncios Google