A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

© 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide.

Apresentações semelhantes


Apresentação em tema: "© 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide."— Transcrição da apresentação:

1 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Nota sobre o uso destes slides ppt: Estamos disponibilizando estes slides gratuitamente a todos (professores, alunos, leitores). Eles estão em formato do PowerPoint para que você possa incluir, modificar e excluir slides (incluindo este) e o conteúdo do slide, de acordo com suas necessidades. Eles obviamente representam muito trabalho da nossa parte. Em retorno pelo uso, pedimos apenas o seguinte: Se você usar estes slides (por exemplo, em sala de aula) sem muita alteração, que mencione sua fonte (afinal, gostamos que as pessoas usem nosso livro!). Se você postar quaisquer slides sem muita alteração em um site Web, que informe que eles foram adaptados dos (ou talvez idênticos aos) nossos slides, e inclua nossa nota de direito autoral desse material. Obrigado e divirta-se! JFK/KWR Todo o material copyright J. F Kurose e K. W. Ross, Todos os direitos reservados.

2 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 2 Capítulo 8: Segurança em rede Objetivos do capítulo: r entender os princípios de segurança em rede: m criptografia e seus muitos usos além da confidencialidade m autenticação m integridade de mensagem r segurança na prática: m firewalls e sistemas de detecção de invasão m segurança nas camadas de aplicação, transporte, rede e enlace de dados

3 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 3 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

4 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 4 O que é segurança na rede? Confidencialidade: apenas remetente e destinatário pretendido devem entender conteúdo da mensagem m remetente criptografa mensagem m destinatário decripta mensagem Autenticação: remetente e destinatário querem confirmar a identidade um do outro Integridade da mensagem: remetente e destinatário querem garantir mensagem não alterada (em trânsito ou depois) sem detecção Acesso e disponibilidade: serviços precisam ser acessíveis e disponíveis aos usuários

5 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 5 Amigos e inimigos: Alice, Bob, Trudy r bem conhecidos no mundo da segurança em rede r Bob, Alice (amigos!) querem se comunicar com segurança r Trudy (intrusa) pode interceptar, excluir, acrescentar mensagens remetente seguro destinatário seguro canal dados, mensagens de controle dados Alice Bob Trudy

6 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 6 Quem poderiam ser Bob e Alice? r … bem, Bobs e Alices da vida real! r navegador Web/servidor de transações eletrônicas (p. e., compras on-line) r cliente/servidor de Internet banking r servidores DNS r roteadores trocando atualizações da tabela de roteamento r outros exemplos?

7 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 7 Existem perversos (e perversas) lá fora! P: O que um perverso pode fazer? R: Muita coisa! Ver Seção 1.6 m bisbilhotar: interceptar mensagens m inserir ativamente mensagens na conexão m personificação: pode forjar (falsificar) endereço IP no pacote (ou qualquer campo no pacote) m sequestrar: apoderar-se da conexão em andamento removendo remetente ou destinatário, inserindo-se no local m negação de serviço: impedir que serviço seja usado por outros (p. e., sobrecarregando recursos)

8 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 8 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

9 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 9 A linguagem da criptografia m mensagem em texto aberto K A (m) texto cifrado, criptografado com chave K A m = K B (K A (m)) texto aberto texto cifrado K A algoritmo criptografia algoritmo decriptação chave de criptografia de Alice K B chave de decriptação de Bob

10 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 10 Esquema de criptografia simples cifra de substituição: substituir uma coisa por outra m cifra monoalfabética: substituir uma letra por outra texto aberto: abcdefghijklmnopqrstuvwxyz texto cifrado: mnbvcxzasdfghjklpoiuytrewq texto aberto: bob. i love you. alice texto cifrado: nkn. s gktc wky. mgsbc p. e.: Segredo: o mapeamento do conjunto de 26 a outro conjunto de 26 letras

11 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 11 Criptografia polialfabética r n cifras monoalfabéticas, M 1,M 2,…,M n r Padrão cíclico: m p. e., n = 4, M 1,M 3,M 4,M 3,M 2 ; M 1,M 3,M 4,M 3,M 2 ; r Para cada novo símbolo de texto aberto, use padrão monoalfabético subsequente no padrão cíclico m dog: d de M 1, o de M 3, g de M 4 r Segredo: as n cifras e o padrão cíclico

12 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 12 Quebrando um esquema de criptografia r Ataque apenas a texto cifrado: Trudy tem o texto cifrado que ela pode analisar r Duas técnicas: m Procura por todas as chaves: deve ser capaz de diferenciar texto aberto resultante do texto sem sentido m Análise estatística r Ataque de texto aberto conhecido: Trudy tem algum texto aberto correspondente a algum texto cifrado m p. e., na cifra monoalfabética, Trudy determina pares para a,l,i,c,e,b,o, r Ataque de texto aberto escolhido: Trudy pode conseguir o texto cifrado para algum texto aberto escolhido

13 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 13 Tipos de criptografia r criptografia normalmente usa chaves: m algoritmo é conhecido de todos m somente chaves são secretas r criptografia de chave pública m envolve o uso de duas chaves r criptografia de chave simétrica m envolve o uso de uma chave r funções de hash m não envolve o uso de chaves m nada secreto: Como isso pode ser útil?

14 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 14 Criptografia de chave simétrica criptografia de chave simétrica: Bob e Alice compartilham alguma chave (simétrica) : K r p. e., segredo é saber padrão de substituição na cifra de substituição monoalfabética P: Como Bob e Alice combinam um valor de segredo? texto aberto texto cifrado K S algoritmo de criptografia algoritmo de decriptação S K S mensagem de texto aberto, m K (m) S m = K S (K S (m))

15 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 15 Dois tipos de cifras simétricas r Cifras de fluxo m criptografam um bit por vez r Cifras de bloco m Quebram a mensagem de texto aberto em blocos de mesmo tamanho m Criptografam cada bloco como uma unidade

16 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 16 Cifras de fluxo r Combinam cada bit da sequência de chaves com bit de texto aberto para obter bit de texto cifrado r m(i) = iº bit da mensagem r ks(i) = iº bit da sequência de chaves r c(i) = iº bit do texto cifrado r c(i) = ks(i) m(i) ( = OR exclusivo, ou XOR) r m(i) = ks(i) c(i) gerador de sequência de chaves chave sequência de chaves pseudoaleatória

17 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 17 Cifra de fluxo RC4 r RC4 é uma cifra de fluxo popular m bastante analisada e considerada boa m chave pode ter de 1 a 256 bytes m usada por WEP para m pode ser usada em SSL

18 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 18 Cifras de bloco r Mensagem a ser criptografada é processada em blocos de k bits (p. e., blocos de 64 bits). r Mapeamento 1-para-1 é usado para mapear bloco de k bits de texto aberto para bloco de k bits de texto cifrado Exemplo com k = 3: entrada saída entrada saída Qual é o texto cifrado para ?

19 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 19 r Quantos mapeamentos existem para k = 3? m Quantas entradas de 3 bits? m Quantas permutações das entradas de 3 bits? m Resposta: ; não muitas! r Em geral, 2 k ! mapeamentos; imenso para k = 64 r Problema: m Técnica de tabela requer tabela com 2 64 entradas, cada entrada com 64 bits r Tabela muito grande: em vez disso, use função que simula tabela permutada aleatoriamente

20 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 20 Função de protótipo entrada de 64 bits S1S1 8bits S2S2 S3S3 S4S4 S7S7 S6S6 S5S5 S8S8 codificador de 64 bits saída de 64 bits Loop para n ciclos mapeamento 8 bits para 8 bits Fonte: Kaufman, 1995

21 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 21 O que acontece no protótipo? r se um único ciclo, então um bit de entrada afeta no máximo 8 bits de saída. r no 2 o ciclo, os 8 bits afetados são espalhados e inseridos em múltiplas caixas de substituição. r quantos ciclos? m quantas vezes você precisa misturar cartas? m torna-se menos eficiente quando n aumenta

22 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 22 Criptografando uma mensagem grande r Por que não apenas quebra a mensagem em blocos de 64 bits e criptografar cada bloco separadamente? m se mesmo bloco de texto aberto aparecer duas vezes, gerará o mesmo texto cifrado. r Que tal: m gerar número aleatório de 64 bits r(i) para cada bloco de texto aberto m(i) m calcular c(i) = K S ( m(i) r(i) ) m transmitir c(i), r(i), i = 1,2,… m no destinatário: m(i) = K S (c(i)) r(i) m problema: ineficaz, precisa enviar c(i) e r(i)

23 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 23 Cipher Block Chaining (CBC) r CBC gera seus próprios números aleatórios m faça a criptografia do bloco atual depender do resultado do bloco anterior m c(i) = K S ( m(i) c(i-1) ) m m(i) = K S ( c(i)) c(i-1) r Como criptografamos o primeiro bloco? m vetor de inicialização (IV): bloco aleatório = c(0) m IV não precisa ser secreto r mude IV para cada mensagem (ou sessão) m garante que, ainda que a mesma mensagem seja enviada repetidamente, o texto cifrado será completamente diferente a cada vez

24 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 24 r bloco de cifra: se bloco de entrada repetido, produzirá o mesmo texto cifrado: t = 1 m(1) = HTTP/1.1 cifra de bloco c(1) = k329aM02 … r Cipher Block Chaining: XOR do iº bloco de entrada, m(i), com bloco anterior do texto cifrado, c(i-1) m c(0) transmitido ao destinatário abertamente m o que acontece no cenário HTTP/1.1 anterior? + m(i) c(i) t = 17 m(17) = HTTP/1.1 c(17) = k329aM02 cifra de bloco c(i-1) cifra de bloco

25 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 25 Criptografia de chave simétrica: DES DES: Data Encryption Standard r Padrão de criptografia dos EUA [NIST 1993] r chave simétrica de 56 bits, texto aberto de 64 bits r cifra de bloco com Cipher Block Chaining r Qual a segurança do DES? m desafio do DES: frase criptografada com chave de 56 bits decriptada (força bruta) em menos de um dia m nenhum bom ataque analítico conhecido r tornando o DES mais seguro: m 3DES: criptografa 3 vezes com 3 chaves diferentes (na verdade, criptografa, decripta, criptografa)

26 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 26 permutação inicial 16 ciclos idênticos de aplicação de função, cada um usando 48 bits diferentes de chave permutação final Operação do DES

27 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 27 AES: Advanced Encryption Standard r novo (Nov. 2001) padrão do NIST para chave simétrica, substituindo o DES r processa dados em blocos de 128 bits r chaves de 128, 192 ou 256 bits r decriptação por força bruta (tentar cada chave) levando 1 segundo no DES, leva 149 trilhões de anos para AES

28 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 28 Criptografia de chave pública chave simétrica r requer que remetente e destinatário conheçam chave secreta r P: Como combinar sobre a chave em primeiro lugar (principalmente se nunca se encontraram)? chave pública r técnica radicalmente diferente [Diffie- Hellman76, RSA78] r remetente e destinatário não compartilham chave secreta r chave criptográfica pública conhecida por todos r chave de decriptação privada conhecida apenas pelo receptor

29 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 29 mensagem de texto aberto, m texto cifrado algoritmo de criptografia algoritmo de decriptação Chave pública de Bob mensagem de texto aberto K (m) B + K B + Chave privada de Bob K B - m = K ( K (m) ) B + B -

30 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 30 Algoritmo de criptografia de chave pública precisa de K ( ) e K ( ) tais que B B.. dada a chave pública K, deverá ser impossível calcular chave privada K B B Requisitos: 1 2 RSA: Algoritmo de Rivest, Shamir, Adelson + - K (K (m)) = m B B

31 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 31 Pré-requisito: aritmética modular r x mod n = resto de x quando divide por n r Fatos: [(a mod n) + (b mod n)] mod n = (a+b) mod n [(a mod n) - (b mod n)] mod n = (a-b) mod n [(a mod n) * (b mod n)] mod n = (a*b) mod n r Assim, (a mod n) d mod n = a d mod n r Exemplo: x = 14, n = 10, d = 2: (x mod n) d mod n = 4 2 mod 10 = 6 x d = 14 2 = 196 x d mod 10 = 6

32 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 32 RSA: aprontando r Uma mensagem é um padrão de bits. r Um padrão de bits pode ser representado exclusivamente por um número inteiro. r Assim, criptografar uma mensagem é equivalente a criptografar um número. Exemplo r m = Essa mensagem é representada exclusivamente pelo número decimal 145. r Para criptografar m, criptografamos o número correspondente, que gera um novo número (o texto cifrado).

33 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 33 RSA: Criando par de chave pública/privada 1. Escolha dois números primos grandes p, q. (p. e., 1024 bits cada) 2. Calcule n = pq, z = (p-1)(q-1) 3. Escolha e (com e

34 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 34 RSA: criptografia, decriptação 0. Dados (n,e) e (n,d) conforme calculamos 1. Para criptografar a mensagem m (

35 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 35 Exemplo de RSA: Bob escolhe p = 5, q = 7. Depois, n = 35, z = 24. e = 5 (assim, e, z relativamente primos). d = 29 (assim, ed-1 divisível exatamente por z). padrão de bits m m e c = m mod n e 0000l c m = c mod n d c d criptografia: decriptação : Criptografando mensagens de 8 bits.

36 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 36 Por que RSA funciona? r Deve mostrar que c d mod n = m onde c = m e mod n r Fato: para qualquer x e y: x y mod n = x (y mod z) mod n m onde n = pq and z = (p-1)(q-1) r Assim, c d mod n = (m e mod n) d mod n = m ed mod n = m (ed mod z) mod n = m 1 mod n = m

37 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 37 RSA: outra propriedade importante A propriedade a seguir será muito útil adiante: K ( K (m) ) = m B B - + K ( K (m) ) B B + - = use chave pública primeiro, seguida por chave privada use chave privada primeiro, seguida por chave pública O resultado é o mesmo!

38 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 38 Segue diretamente da aritmética modular: (m e mod n) d mod n = m ed mod n = m de mod n = (m d mod n) e mod n K ( K (m) ) = m B B - + K ( K (m) ) B B + - = Por que ?

39 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 39 Por que RSA é seguro? r Suponha que você conheça a chave pública de Bob (n,e). Qual é a dificuldade de determinar d? r Basicamente, é preciso encontrar fatores de n sem conhecer os dois fatores p e q. r Fato: fatorar um número muito grande é difícil. Gerando chaves RSA r É preciso achar números primos p e q grandes r Técnica: crie uma boa estimativa e depois aplique regras de teste (ver Kaufman)

40 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 40 Chaves de sessão r Exponenciação é computacionalmente intensa r DES é pelo menos 100 vezes mais rápido que RSA Chave de sessão, K S r Bob e Alice usam RSA para trocar uma chave simétrica K S r Quando ambos tiverem K S, eles usam a criptografia de chave simétrica

41 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 41 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

42 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 42 Integridade de mensagem r permite a comunicação das partes para verificar que as mensagens recebidas são autênticas. m conteúdo da mensagem não foi alterado m origem da mensagem é quem/o que você pensa ser m mensagem não foi reproduzida replay m sequência de mensagens é mantida r primeiro, vamos falar sobre resumos de mensagem

43 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 43 Resumos de mensagem r função H( ) que toma como entrada uma mensagem de tamanho qualquer e gera uma sequência de tamanho fixo: assinatura da mensagem r note que H( ) é uma função muitos-para-um r H( ) normalmente é chamada função de hash r propriedades desejáveis: m fácil de calcular m irreversibilidade: não é possível saber m por H(m) m resistência a colisão: computacionalmente difícil de produzir m e m tal que H(m) = H(m) m saída aparentemente aleatória mensagem grande m H: função de hash H(m)

44 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 44 Soma de verificação da Internet: resumo de mensagem fraco soma de verificação da internet tem propriedades da função de hash: ü produz resumo de tamanho fixo (soma de 16 bits) de entrada ü é muitos-para-um r mas, dada mensagem com dado valor de hash, é fácil achar outra mensagem com o mesmo valor de hash. r exemplo: soma de verificação simplificada: soma porções de 4 bytes de cada vez: I O U B O B 49 4F E D2 42 mensagem formato ASCII B2 C1 D2 AC I O U B O B 49 4F E D2 42 mensagem formato ASCII B2 C1 D2 AC mensagens diferentes mas somas de verificação idênticas!

45 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 45 Algoritmos de função de hash r função de hash MD5 bastante usada (RFC 1321) m calcula resumo de mensagem de 128 bits em processo de 4 etapas. r SHA-1 também é usado. m padrão nos EUA [ NIST, FIPS PUB 180-1] m resumo de mensagem de 160 bit

46 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 46 Message Authentication Code (MAC) mensagem H( ) s mensagem s H( ) compara s = segredo compartilhado r autentica remetente r verifica integridade da mensagem r sem criptografia! r também chamado hash chaveado r notação: MD m = H(s||m) ; envia m||MD m

47 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 47 HMAC r padrão mac popular mac r resolve algumas falhas de segurança sutis 1. Concatena segredo à frente da mensagem. 2. Mensagem concatenada aos hashes. 3. Concatena o segredo à frente do resumo. 4. Cria hash da combinação novamente.

48 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 48 Exemplo: OSPF r lembre-se de que OSPF é um protocolo de roteamento intra-AS r cada roteador cria mapa do AS inteiro (ou área) e executa algoritmo do caminho mais curto pelo mapa. r roteador recebe anúncios de estado do enlace (LSAs) de todos os outros roteadores no AS. Ataques: r inserção de mensagem r exclusão de mensagem r modificação de mensagem r como sabemos se uma mensagem OSPF é autêntica?

49 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 49 Autenticação OSPF r dentro de um sistema autônomo, roteadores enviam mensagens OSPF entre si. r OSPF oferece escolhas de autenticação m Sem autenticação m Senha compartilhada: inserida em aberto no campo de autenticação de 64 bits no pacote OSPF m hash criptográfico r hash criptográfico com MD5 m campo de autenticação de 64 bits inclui número de sequência de 32 bits m MD5 é executado sobre uma concatenação do pacote OSPF e chave secreta compartilhada m hash MD5 então anexado ao pacote OSPF; encapsulado no datagrama IP

50 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 50 Autenticação do ponto final r deseja ter certeza do remetente da mensagem – autenticação do ponto final r supondo que Alice e Bob tenham um segredo compartilhado, MAC oferecerá autenticação do ponto final m sabemos que Alice criou a mensagem m mas ela a enviou?

51 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 51 MAC Transferir US$1M de Bill para Trudy MAC Transferir US$1M de Bill para Trudy Ataque de reprodução MAC = f(msg,s)

52 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 52 Eu sou Alice R MAC Transferir US$1M de Bill para Susan MAC = f(msg,s,R) Defendendo contra ataque de reprodução: nonce

53 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 53 Assinaturas digitais Técnica criptográfica semelhante a assinaturas escritas a mão. r remetente (Bob) assina documento digitalmente, estabelecendo que é o dono/criador do documento. r objetivo semelhante a um MAC, exceto que agora usamos criptografia de chave pública. r verificável, não falsificável: destinatário (Alice) pode provar a alguém que Bob, e ninguém mais (incluindo Alice), deverá ter assinado o documento.

54 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 54 assinatura digital simples para mensagem m: r Bob assina m criptografando com sua chave privada K B, criando mensagem assinada, K B (m) - - Querida Alice Como eu sinto sua falta. Penso em você o tempo todo! …(blah blah blah) Bob Mensagem de Bob, m Algoritmo de criptografia de chave pública Chave privada de Bob K B - Mensagem de Bob, m, assinada (criptografada) com sua chave privada K B - (m)

55 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 55 mensagem grande m H: função de hash H(m) assinatura digital (criptog.) chave privada de Bob K B - + Bob envia mensagem assinada em forma digital: Alice verifica assinatura e integridade da mensagem assinada em forma digital: K B (H(m)) - resumo de msg. criptog. K B (H(m)) - resumo de msg. criptog. mensagem grande m H: função de hash H(m) assinatura digital (decript.) H(m) chave pública de Bob K B + igual ? Assinatura digital = resumo de mensagem assinada

56 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 56 Assinaturas digitais (mais) r Suponha que Alice receba msg m, assinatura digital K B (m) r Alice verifica m assinada por Bob aplicando chave pública de Bob K B a K B (m), depois verifica K B (K B (m) ) = m. r se K B (K B (m) ) = m, quem assinou m deve ter usado a chave privada de Bob Assim, Alice verifica se: ü Bob assinou m. ü Ninguém mais assinou m. ü Bob assinou m e não m. Não repudiação: Alice pode levar m e assinatura K B (m) ao tribunal e provar que Bob assinou m. +

57 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 57 Certificação de chave pública r motivação: Trudy prega peça da pizza em Bob m Trudy cria pedido por Prezada pizzaria, Por favor, me entregue quatro pizzas de calabresa. Obrigado, Bob. m Trudy assina pedido com sua chave privada m Trudy envia pedido à pizzaria m Trudy envia à pizzaria sua chave pública, mas diz que é a chave pública de Bob. m pizzaria verifica assinatura; depois, entrega quatro pizzas para Bob. m Bob nem sequer gosta de calabresa.

58 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 58 Autoridades de certificação r autoridade de certificação (CA): vincula chave pública à entidade particular, E. r E (pessoa, roteador) registra sua chave pública com CA. m E fornece prova de identidade à CA. m CA cria certificado vinculando E à sua chave pública. m certificado contendo chave pública de E assinada digitalmente pela CA – CA diz esta é a chave pública de E chave pública de Bob K B + informação de identificação de Bob assinatura digital (cript.) chave privada da CA K CA - K B + certificado para chave pública de Bob, assinada pela CA

59 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 59 r quando Alice quer a chave pública de Bob: m recebe certificado de Bob (Bob ou outro). m aplica chave pública da CA ao certificado de Bob, recebe chave pública de Bob chave pública de Bob K B + assinatura digital (decript.) chave pública da CA K CA + K B +

60 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 60 Certificados: resumo r padrão principal X.509 (RFC 2459) r certificado contém: m nome do emissor m nome da entidade, endereço, domínio etc. m chave pública da entidade m assinatura digital (assinada com a chave privada do emissor) r Public-Key Infrastructure (PKI) m certificados e autoridades de certificação m normalmente considerada pesada

61 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 61 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

62 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 62 seguro Alice: gera chave privada simétrica aleatória, K S. criptografa mensagem com K S (por eficiência) também criptografa K S com chave pública de Bob. envia K S (m) e K B (K S ) para Bob. Alice quer enviar confidencial, m, para Bob. K S ( ). K B ( ) K S (m ) K B (K S ) + m KSKS KSKS KBKB + Internet K S ( ). K B ( ). - KBKB - KSKS m K S (m ) K B (K S ) +

63 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 63 Bob: usa sua chave privada para decriptar e recuperar K S usa K S para decriptar K S (m) para recuperar m Alice quer enviar confidencial, m, para Bob. K S ( ). K B ( ) K S (m ) K B (K S ) + m KSKS KSKS KBKB + Internet K S ( ). K B ( ). - KBKB - KSKS m K S (m ) K B (K S ) +

64 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 64 Alice quer fornecer integridade da mensagem de autenticação do remetente. Alice assina mensagem digitalmente. envia mensagem (em aberto) e assinatura digital. H( ). K A ( ) H(m ) K A (H(m)) - m KAKA - Internet m K A ( ). + KAKA + K A (H(m)) - m H( ). H(m ) compara

65 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 65 Alice quer fornecer sigilo, autenticação do remetente, integridade da mensagem. Alice usa três chaves: sua chave privada, chave pública de Bob, chave simétrica recém-criada H( ). K A ( ). - + K A (H(m)) - m KAKA - m K S ( ). K B ( ). + + K B (K S ) + KSKS KBKB + Internet KSKS

66 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 66 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

67 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 67 SSL: Secure Sockets Layer r protocolo de segurança bastante implantado m aceito por quase todos os navegadores e servidores Web m https m dezenas de bilhões de US$ gastos por ano sobre SSL r originalmente projetado pela Netscape em 1993 r número de variações: m TLS: Transport Layer Security, RFC 2246 r oferece m Confidencialidade m Integridade m Autenticação r objetivos originais: m teve em mente transações de comércio eletrônico na Web m criptografia (especialmente números de cartão de crédito) m autenticação de servidor Web m autenticação de cliente opcional m mínimo de incômodo ao fazer negócios com novos comerciantes r disponível a todas as aplicações TCP m Interface Secure Socket

68 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 68 SSL e TCP/IP Aplicação TCP IP aplicação normal Aplicação SSL TCP IP aplicação com SSL SSL oferece interface de programação de aplicação (API) às aplicações bibliotecas/classes SSL em C e Java prontamente disponíveis

69 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 69 Poderia fazer algo como PGP: mas quer enviar fluxos de bytes & dados interativos quer um conjunto de chaves secretas para a conexão inteira quer parte de troca de certificado do protocolo: fase de apresentação (handshake) H( ). K A ( ). - + K A (H(m)) - m KAKA - m K S ( ). K B ( ). + + K B (K S ) + KSKS KBKB + Internet KSKS

70 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 70 SSL: um canal seguro simples r apresentação: Alice e Bob usam seus certificados e chaves privadas para autenticar um ao outro e trocar segredo compartilhado r derivação de chave: Alice e Bob usam segredo compartilhado para derivar conjunto de chaves r transferência de dados: dados a serem transferidos são desmembrados em uma série de registros r encerramento de conexão: mensagens especiais para encerrar conexão com segurança

71 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 71 Uma apresentação simples r MS = segredo mestre r EMS = segredo mestre criptografado olá certificado K B + (MS) = EMS

72 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 72 Derivação de chave r considerado ruim usar a mesma chave para mais de uma operação criptográfica m use chaves diferentes para código de autenticação de mensagem (MAC) e criptografia r quatro chaves: m K c = chave de criptografia para dados enviados do cliente ao servidor m M c = chave MAC para dados enviados do cliente ao servidor m K s = chave de criptografia para dados enviados do servidor ao cliente m M s = chave MAC para dados enviados do servidor ao cliente r chaves derivadas da função de derivação de chave (KDF) m toma segredo mestre e (possivelmente) alguns dados aleatórios adicionais e cria as chaves

73 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 73 Registros de dados r Por que não criptografar dados em fluxo constante enquanto o escrevemos no TCP? m Onde colocaríamos o MAC? Se no final, nenhuma integridade de mensagem até todos os dados processados. m Por exemplo, com mensagens instantâneas, como podemos fazer verificação de integridade por todos os bytes enviados antes da exibição? r Em vez disso, quebre fluxo em série de registros m cada registro transporta um mac m receptor pode atuar em cada registro quando ele chega r Problema: no registro, receptor precisa distinguir MAC dos dados m quer usar registros de tamanho variável tamanhodadosMAC

74 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 74 Números de sequência r invasor pode capturar e reproduzir registro ou reordenar registros r solução: colocar número de sequência em MAC: m MAC = MAC(M x, sequência||dados) m nota: sem campo de número de sequência r invasor ainda poderia reproduzir todos os registros m use nonce aleatório

75 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 75 Informação de controle r ataque por truncamento: m invasor forja segmento de encerramento de conexão TCP m um ou ambos os lados pensam que existem menos dados do que realmente existem. r solução: tipos de registro, com um tipo para encerramento m tipo 0 para dados; tipo 1 para encerramento r MAC = MAC(M x, sequência||tipo||dados) tamanhotipo dadosMAC

76 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 76 SSL: resumo olá certificado, nonce K B + (MS) = EMS tipo 0, seq 1, dados tipo 0, seq 2, dados tipo 0, seq 1, dados tipo 0, seq 3, dados tipo 1, seq 4, encerra tipo 1, seq 2, encerra criptografado bob.com

77 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 77 SSL não é completo r Qual é o tamanho dos campos? r Quais protocolos de criptografia? r sem negociação m permite que cliente e servidor admitam diferentes algoritmos de criptografia m permite que cliente e servidor escolham juntos algoritmo específico antes da transferência de dados

78 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 78 Cifras simétricas mais comuns em SSL r DES – Data Encryption Standard: bloco r 3DES – Força tripla: bloco r RC2 – Rivest Cipher 2: bloco r RC4 – Rivest Cipher 4: fluxo Criptografia de chave pública r RSA

79 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 79 Blocos de cifras SSL r bloco de cifras m algoritmo de chave pública m algoritmo de criptografia simétrica m algoritmo MAC r SSL admite uma série de blocos de cifras r negociação: cliente e servidor devem combinar sobre bloco de cifras r cliente oferece escolha; servidor escolhe uma

80 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 80 SSL real: Apresentação Propósito 1. Autenticação do servidor 2. Negociação: concordar sobre algoritmos de criptografia 3. Estabelecer chaves 4. Autenticação do cliente (opcional)

81 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide Cliente envia lista de algoritmos que admite, junto com nonce do cliente. 2. Servidor escolhe algoritmos da lista; envia de volta: escolha + certificado + nonce do servidor. 3. Cliente verifica certificado, extrai chave pública do servidor, gera pre_master_secret, criptografa com chave pública do servidor, envia ao cliente. 4. Cliente e servidor calculam independentemente chaves de criptografia e MAC a partir de pre_master_secret e nonces. 5. Cliente envia um MAC de todas as mensagens de apresentação. 6. Servidor envia um MAC de todas as mensagens de apresentação.

82 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 82 últimas 2 etapas protegem apresentação contra adulteração r cliente normalmente oferece intervalo de algoritmos, alguns fortes, alguns fracos r homem do meio poderia excluir da lista os algoritmos mais fortes r últimas 2 etapas impedem isso m duas últimas mensagens são criptografadas

83 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 83 r Por que os dois nonces aleatórios? r Suponha que Trudy fareje todas as mensagens entre Alice & Bob. r No dia seguinte, Trudy configura conexão TCP com Bob, envia a mesma sequência exata de registros. m Bob (Amazon) pensa que Alice fez dois pedidos separados para a mesma coisa. m Solução: Bob envia nonce aleatório diferente para cada conexão. Isso faz com que as chaves criptográficas sejam diferentes nos dois dias. m As mensagens de Trudy falharão na verificação de integridade de Bob.

84 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 84 Protocolo de registro SSL dados fragmento de dados MAC dados criptografados e MAC cab. de registro cabeçalho de registro: tipo de conteúdo; versão; tamanho MAC: inclui número de sequência, chave MAC M x Fragmento: cada fragmento SSL 2 14 bytes (~16 Kbytes)

85 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 85 Formato de registro SSL tipo de conteúdo versão SSL tamanho MAC dados 1 byte 2 bytes3 bytes Dados e MAC criptografados (algoritmo simétrico)

86 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 86 apresentação: ClientHello apresentação: ServerHello apresentação: Certificate apresentação: ServerHelloDone apresentação: ClientKeyExchange ChangeCipherSpec apresentação: Finished ChangeCipherSpec apresentação: Finished application_data Alerta: warning, close_notify Conexão real TCP FIN em seguida Tudo daqui para a frente é criptografado

87 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 87 Derivação de chave r nonce do cliente, nonce do servidor e segredo pre- master entram no gerador de número pseudoaleatório. m produz segredo mestre r segredo mestre e novos nonces inseridos em outro gerador de número aleatório: bloco de chaves m devido à retomada: TBD r bloco de chaves fatiado e dividido: m chave MAC do cliente m chave MAC do servidor m chave de criptografia do cliente m chave de criptografia do servidor m vetor de inicialização (IV) do cliente m vetor de inicialização (IV) do servidor

88 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 88 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

89 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 89 Qual é a confidencialidade na camada de rede? entre duas entidades de rede: r entidade remetente criptografa as cargas úteis dos datagramas. Carga útil pode ser: m Segmento TCP, segmento UDP, mensagem ICMP, mensagem OSPF e assim por diante. r todos os dados enviados de uma entidade para outra seriam ocultados: m Páginas Web, , transferência de arquivos P2P, pacotes SYN do TCP e assim por diante. r ou seja, cobertura abrangente.

90 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 90 Virtual Private Networks (VPNs) r instituições normalmente desejam redes privadas por segurança. m Claro! Roteadores e enlaces separados, infraestrutura de DNS. r com uma VPN, o tráfego entre escritórios da organização, em vez disso, é enviado pela Internet pública. m mas o tráfego é criptografado antes de entrar na Internet pública

91 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 91

92 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 92 Serviços IPsec r integridade de dados r autenticação da origem r prevenção de ataque de reprodução r confidencialidade r dois protocolos oferecendo diferentes modelos de serviço: m AH m ESP

93 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 93 Modo de transporte do IPsec r datagrama IPsec emitido e recebido pelo sistema final. r protege protocolos de nível superior IPsec

94 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 94 IPsec – modo túnel r Roteadores finais estão cientes do IPsec. Hospedeiros não precisam estar. IPsec

95 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 95 r também modo túnel IPsec

96 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 96 Dois protocolos r Protocolo Authentication Header (AH) m fornece autenticação da origem & integridade de dados, mas não confidencialidade r Encapsulation Security Protocol (ESP) m fornece autenticação da origem, integridade de dados e confidencialidade m mais utilizado que AH

97 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 97 Quatro combinações são possíveis! Modo hospedeiro com AH Modo hospedeiro com ESP Modo túnel com AH Modo túnel com ESP Mais comum e mais importante

98 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 98 Associações de segurança (SAs) r antes de enviar dados, uma conexão virtual é estabelecida pela entidade de envio à entidade receptora. r chamada associação de segurança (SA) m SAs são simples: apenas para uma direção r entidades remetente e destinatária mantêm informação de estado sobre a SA m lembre-se de que os pontos finais do TCP também mantêm informação de estado. m IP é sem conexão; IPsec é orientado a conexão! r Quantas SAs na VPN com matriz, filial e n vendedores viajando?

99 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide / /24 SA Internet Matriz Filial R1 R2 SA de exemplo de R1 para R2 armazenamentos R1 para SA r identificador de 32 bits para SA: Security Parameter Index (SPI) r interface de origem da SA ( ) r interface de destino da SA ( ) r tipo de criptografia a ser usada (por exemplo, 3DES com CBC) r chave de criptografia r tipo de verificação de integridade (por exemplo, HMAC com MD5) r chave de autenticação

100 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 100 Security Association Database (SAD) r ponto final mantém estado de suas SAs em um SAD, onde pode localizá-los durante processamento r com n vendedores, 2 + 2n SAs no SAD de R1 r ao enviar datagrama IPsec, R1 acessa SAD para determinar como processar datagrama r quando datagrama IPsec chega em R2, R2 examina SPI no datagrama IPsec, indexa SAD com SPI e processa datagrama de acordo

101 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 101 Datagrama IPsec Foco agora no modo túnel com ESP

102 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 102 O que acontece? / /24 SA Internet Matriz Filial R1 R2

103 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 103 R1 converte datagrama original em datagrama IPsec r anexa ao final do datagrama original (que inclui campos do cabeçalho original!) um campo de trailer ESP r cifra resultado usando algoritmo & chave especificada pela SA r anexa na frente dessa quantidade cifrada o cabeçalho ESP, criando enchilada r cria MAC de autenticação sobre a enchilada inteira, usando algoritmo e chave especificada na SA r anexa MAC ao final da enchilada, formando carga útil r cria cabeçalho IP novo, com todos os campos do cabeçalho IPv4 clássico, que é anexado antes da carga útil

104 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 104 Dentro da enchilada : r trailer ESP: enchimento para cifras de bloco r cabeçalho ESP: m SPI, de modo que entidade receptora sabe o que fazer m número de sequência, para frustrar ataques de reprodução r MAC no campo ESP MAC é criado com chave secreta compartilhada

105 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 105 Números de sequência IPsec r para SA nova, remetente inicializa núm. seq. em 0 r toda vez que datagrama é enviado na SA: m remetente incrementa contador de núm. sequência m coloca valor no campo de núm. sequência r objetivo: m impedir que invasor detecte e reproduza um pacote Recebimento de pacotes IP duplicados, autenticados, pode atrapalhar o serviço r método: m destino verifica duplicatas m mas não registra TODOS os pacotes recebidos; em vez disso, usa uma janela

106 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 106 Security Policy Database (SPD) r política: para determinado datagrama, entidade enviando precisa saber se deve usar IPsec. r também precisa saber qual SA utilizar m pode usar: endereço IP de origem e destino; número de protocolo. r informação no SPD indica o que fazer com o datagrama que chega; r informação no SAD indica como fazer isso.

107 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 107 Resumo: Serviços IPsec r suponha que Trudy esteja em algum lugar entre R1 e R2. Ela não conhece as chaves m Trudy conseguirá ver o conteúdo do datagrama original? E o endereço IP de destino, protocolo de transporte, porta da aplicação? m Alterar bits sem detecção? m Mascarar como R1 usando endereço IP de R1? m Reproduzir um datagrama?

108 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 108 Internet Key Exchange r nos exemplos anteriores, estabelecemos manualmente SAs IPsec nos pontos finais IPsec: exemplo de SA SPI: IP de origem: IP de destino: protocolo: ESP algoritmo de criptação: 3DES-cbc algoritmo HMAC: MD5 chave de criptação: 0x7aeaca… chave HMAC: 0xc0291f … r essa troca de chaves manual não é prática para VPN grande com, digamos, centenas de vendedores r em seu lugar, use IPsec IKE (Internet Key Exchange)

109 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 109 IKE: PSK e PKI r autenticação (prova de quem você é) com m segredo previamente compartilhado (PSK) ou m com PKI (chaves e certificados públicos/privados) r com PSK, os dois lados começam com segredo: m depois executam IKE para autenticar entre si e gerar SAs IPsec (um em cada direção), incluindo chaves de criptografia e autenticação r com PKI, os dois lados começam com par de chaves pública/privada e certificado m executam IKE para autenticarem um ao outro e obterem SAs IPsec (um em cada direção) m semelhante à apresentação em SSL

110 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 110 Fases do IKE r IKE tem duas fases m fase 1: estabelecer IKE SA bidirecional nota: IKE SA diferente do IPsec SA também denominada associação de segurança ISAKMP m fase 2: ISAKMP é usada para negociar com segurança o par IPsec das SAs r fase 1 tem dois modos: modo agressivo e modo principal m modo agressivo usa menos mensagens m modo principal oferece proteção de identidade e é mais flexível

111 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 111 Resumo do IPsec r troca de mensagem IKE para algoritmos, chaves secretas, números de SPI r o protocolo AH ou ESP (ou ambos) r o protocolo AH fornece integridade e autenticação da origem r o protocolo ESP (com AH) adicionalmente oferece criptografia r pares IPsec podem ser dois sistemas finais, dois roteadores/firewalls, ou um roteador/firewall e um sistema final

112 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 112 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

113 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 113 Objetivos de projeto da WEP r criptografia de chave simétrica m confidencialidade m autorização de estação m integridade de dados r autossincronismo: cada pacote criptado separadamente m dado pacote criptado e chave, pode decriptar; pode continuar a decriptar pacotes quando o pacote anterior se perde m diferente de Cipher Block Chaining (CBC) nas cifras de bloco r eficiente m pode ser implementado no hardware ou no software

114 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 114 Análise: cifras de fluxo simétricas r Combinam cada byte da sequência de chaves com byte de texto aberto para obter texto cifrado r m(i) = iª unidade de mensagem r ks(i) = iª unidade de sequência de chaves r c(i) = iª unidade de texto cifrado r c(i) = ks(i) m(i) ( = OR exclusivo, ou XOR) r m(i) = ks(i) c(i) r WEP usa RC4 gerador de sequência de chaves chave sequência de chaves

115 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 115 Independência de cifra e pacote da sequência r lembre-se do objetivo do projeto: cada pacote criptografado separadamente r se, para o quadro n + 1, usa sequência de chaves de onde parou para o quadro n, então cada quadro não é criptografado separadamente m precisa saber onde parou para o pacote n r técnica WEP: inicializar sequência de chaves com chave + novo IV para cada pacote: gerador de sequência de chaves Chave + IV pacote sequência de chaves pacote

116 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 116 Criptação WEP r remetente calcula Integrity Check Value (ICV) sobre dados m hash/CRC de quatro bytes para integridade de dados r cada lado tem chave compartilhada de 104 bits r remetente cria vetor de inicialização de 24 bits (IV), anexa à chave: gera chave de 128 bits r remetente também anexa keyID (no campo de 8 bits) r chave de 128 bits inserida no gerador de número pseudoaleatório para obter sequência de chaves r dados no quadro + ICV é criptografado com RC4: m bytes da sequência de chaves passam por XOR com bytes de dados e & ICV m IV & keyID são anexados aos dados criptografados para criar carga útil m carga útil inserida no quadro cifrado dadosICVIV carga útil MAC ID chave

117 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 117 Novo IV para cada quadro

118 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 118 Visão geral da decriptação WEP r receptor extrai IV r insere IV e segredo compartilhado no gerador pseudoaleatório, obtém sequência de chaves r realiza XOR da sequência de chaves com dados criptografados para decriptografar dados + ICV r verifica integridade dos dados com ICV m observe que técnica de integridade de mensagem usada aqui é diferente de MAC (Message Authentication Code) e assinaturas (usando PKI). cifrado dadosICVIV carga útil MAC ID chave

119 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 119 Autenticação do ponto final com nonce nonce: número (R) usado apenas uma vez na vida como: para provar que Alice vive, Bob lhe envia nonce, R. Alice deve retornar R, criptografado com chave secreta compartilhada Eu sou Alice R K (R) A-B Alice está viva, e somente Alice conhece chave para criptografar nonce, de modo que ela deverá ser Alice!

120 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 120 Autenticação WEP AP requisição de autenticação nonce (128 bytes) nonce criptografado com chave compartilhada sucesso de decriptografado for igual a nonce Nem todos os APs fazem isso, mesmo que WEP esteja em uso. AP indica se autenticação é necessária no quadro de sinalização. Feito antes da associação.

121 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 121 Quebrando criptografia Web falha na segurança: r IV de 24 IV, um IV por quadro, -> IV em algum momento é reutilizado r IV transmitido em texto aberto -> reuso de IV detectado r ataque: m Trudy faz Alice criptografar texto aberto conhecido d 1 d 2 d 3 d 4 … m Trudy vê: c i = d i XOR k i IV m Trudy conhece c i d i, e pode calcular k i IV m Trudy sabe sequência de chave cript. k 1 IV k 2 IV k 3 IV … m da próxima vez que IV for usado, Trudy pode decriptografar!

122 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide i: segurança melhorada r diversas formas (mais fortes) de criptografia possíveis r oferece distribuição de chave r usa servidor de autenticação separado do ponto de acesso

123 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 123 AP: ponto de acesso AS: Authentication Server rede com fio STA: estação cliente 1 descoberta de capacidades de segurança 3 STA e AS se autenticam, juntos geram Master Key (MK). Servidores AP como passagem 2 3 STA deriva Pairwise Master Key (PMK) AS deriva mesma PMK, envia a AP 4 STA, AP usa PMK para derivar Temporal Key (TK) usada para criptografia e integridade de mensagem i: quatro fases de operação

124 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 124 rede cabeada EAP TLS EAP EAP sobre LAN (EAPoL) IEEE RADIUS UDP/IP EAP: Extensible Authentication Protocol r EAP: cliente fim a fim (móvel) ao protocolo do servidor de autenticação r EAP enviado por enlaces separados m móvel-para-AP (EAP sobre LAN) m AP para servidor autenticação (RADIUS sobre UDP )

125 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 125 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

126 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 126 Firewalls isola rede interna da organização da Internet maior, permitindo que alguns pacotes passem e bloqueando outros. firewall rede administrada Internet pública firewall

127 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 127 Firewalls: Por que impedir ataques de negação de serviço: m inundação de SYN: atacante estabelece muitas conexões TCP falsas, sem recursos deixados para conexões reais impedir modificação/acesso ilegal de dados internos m p. e., atacante substitui página inicial da companhia por algo diferente permite apenas acesso autorizado à rede interna (conjunto de usuários/hospedeiros autenticados) três tipos de firewalls: m filtros de pacotes sem estado m filtros de pacotes com estado m gateways de aplicação

128 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 128 Filtragem de pacotes sem estado r rede interna conectada à Internet via firewall do roteador r roteador filtra pacote-por-pacote, decisão de repassar/descartar pacote com base em: m endereço IP de origem, endereço IP de destino m números de porta de origem e destino do TCP/UDP m tipo de mensagem ICMP m bits SYN e ACK do TCP O pacote que chega deve ter permissão para entrar? Pacote de saída deve sair?

129 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 129 Filtragem de pacotes sem estado: exemplo r exemplo 1: bloco entrando e saindo datagramas com campo de protocolo IP = 17 e com porta de origem ou destino = 23 m todo UDP entrando e saindo fluxos e conexões telnet são bloqueados r exemplo 2: bloco entrando segmentos TCP com ACK = 0 m impede que clientes externos façam conexões TCP com clientes internos, mas permite que clientes internos se conectem ao exterior

130 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 130 Política configuração de firewall sem acesso externo à Web descarta todos os pacotes que saem para qualquer endereço IP, porta 80 sem conexões TCP entrando, exceto aquelas apenas para o servidor Web público da instituição descarta todos pacotes TCP SYN que chegam a qualquer IP, exceto , porta 80 impedir que Web-radios devorem a largura de banda disponível descarta todos os pacotes UDP que chegam - exceto DNS e broadcasts do roteador impedir que sua rede seja usada para um ataque DoS smurf descarta todos os pacotes ICMP indo para um endereço de broadcast (p. e., ) impedir que sua rede interaja com o programa Traceroute descarta todo tráfego expirado ICMP TTL de saída Filtragem de pacotes sem estado: mais exemplos

131 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 131 Listas de controle de acesso r ACL: tabela de regras, aplicadas de cima para baixo aos pacotes que chegam: pares (ação, condição)

132 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 132 Filtragem de pacotes com estado r filtro de pacotes sem estado: ferramenta pesada m admite pacotes que não fazem sentido, p. e., porta destino = 80, bit ACK marcado, mesmo sem conexão TCP estabelecida: ação endereço de origem endereço de destino protocolo porta de origem porta de destino bit de flag permitirfora de /16 TCP80> 1023ACK r filtro de pacotes com estado: rastreia status de cada conexão TCP m rastrear configuração de conexão (SYN), encerramento (FIN): pode determinar se pacotes de entrada e saída fazem sentido m timeout de conexões inativas no firewall: não admite mais pacotes

133 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 133 r ACL aumentada para indicar necessidade de verificar tabela de estado da conexão antes de admitir pacote

134 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 134 Gateways de aplicação r filtra pacotes nos dados da aplicação, além de campos IP/TCP/UDP. r exemplo: permitir seleção de usuários internos ao telnet externo. 1. requer que todos os usuários telnet passem pelo gateway. 2. para usuários autorizados, gateway estabelece conexão telnet ao hospedeiro de destino. Gateway repassa dados entre 2 conexões 3. filtro do roteador bloqueia todas as conexões telnet não originando do gateway.

135 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 135 Limitações de firewalls e gateways r falsificação de IP: roteador não sabe se os dados realmente vêm de fonte alegada r se múltiplas aplicações precisam de tratamento especial, cada uma tem gateway próprio. r software cliente deve saber como contatar gateway. m p. e., deve definir endereço IP do proxy no servidor Web r filtros normalmente usam toda ou nenhuma política para UDP. r dilema: grau de comunicação com mundo exterior, nível de segurança r muitos sites altamente protegidos ainda sofrem de ataques.

136 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 136 Sistemas de detecção de invasão r filtragem de pacotes: m opera apenas sobre cabeçalhos TCP/IP m sem verificação de correlação entre sessões r IDS: Intrusion Detection System m profunda inspeção de pacotes: examina conteúdo do pacote (p. e., verifica strings de caracteres no pacote contra banco de dados de vírus conhecidos e sequências de ataque) m examine correlação entre múltiplos pacotes escaneamento de portas mapeamento de rede ataque de DoS

137 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 137 r múltiplos IDSs: diferentes tipos de verificação em diferentes locais

138 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 138 Segurança de rede (resumo) técnicas básicas…... m criptografia (simétrica e pública) m integridade da mensagem m autenticação do ponto final …. usado em muitos cenários de segurança diferentes m seguro m transporte seguro (SSL) m IPsec m Segurança Operacional: firewalls e IDS


Carregar ppt "© 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide."

Apresentações semelhantes


Anúncios Google