Segurança em Redes de Computadores VI Semana de Informática Carlos de Castro Goulart Departamento de Informática Universidade Federal de Viçosa
Tópicos Redes de Computadores Princípios de Segurança Técnicas de Segurança Acesso a páginas web Engenharia social Conclusões
Redes de Computadores Redes locais (LAN) redes de difusão Redes de longa distância (WAN) redes ponto-a-ponto Redes sem fio locais (difusão) - (WLAN) de longa distância (ponto-a-ponto) Redes Públicas
Redes de Computadores Redes de comunicaçao de dados Transação em caixa eletrônico Compra com cartão de crédito/débito Ligação telefônica Telegrama Internet home banking, comércio eletrônico, skype,
Princípios de Segurança Confidencialidade Controle de Integridade Autenticação Autenticidade
Confidencialidade Sigilo da informação Tem como objetivo fazer o transporte da informação de modo que seu conteúdo não possa ser lido ou, no caso de ser lido, que não possa ser entendido.
Controle de Integridade Integridade da informação Tem como objetivo garantir que uma informação não foi alterada, seja em seu local de origem ou no transporte
Autenticação Controle de acesso Visa garantir que o acesso à informação seja feito apenas por agentes (pessoas ou máquinas) autorizadas
Autenticidade Garantia de origem Procura garantir que o acesso esteja sendo feito a um local confiável
Técnicas de Seguraça Criptografia Assinatura Digital Message Digest Protocolos de Autenticação
Criptografia Criptografia: técnica usada para garantir a confidencialidade da informação transmitida do grego: cripto = segredo, grafia = escrita Cifragem + transmissão + decifragem Substituição e Transposição Chave de criptografia D K1 (E K2 (P)) = P algoritmos de chave simétrica (K1=K2) e de chave pública (K1!=K2)
Criptografia: princípio básico Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Criptografia de chave simétrica Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Criptografia de chave simétrica Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Criptografia de chave pública Chave possui 2 partes pública: para ser divulgada privada: mantida secreta difícil obter a chave privada à partir da chave pública José envia msg criptografada para Maria D KPriMaria (E KPubMaria (P)) = P Algoritmos assimétrico D KPubMaria (E KPubMaria (P)) != P
Criptografia de chave pública Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Sem criptografia
Com criptografia
Assinatura Digital Técnica que visa substituir a assinatura convencional, garantido a autenticidade e a integridade o envio de uma mensagem assinada digitalmente deve garantir que: o receptor possa verificar a identidade do emissor; o emissor não possa repudiar o conteúdo da mensagem; o receptor não possa modificar a mensagem.
Assinatura Digital Simétrica: Big Brother Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Assinatura Digital usando chave pública Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Assinatura Digital baseada em Message Digest Uso de uma função hash que gera uma informação de tamanho fixo Permite a transmissão sem a necessidade de criptografia pode ser combinada com a criptografia Algoritmos mais usados MD5 (Message Digest) e SHA (Secure Hash Algorithm)
Assinatura Digital baseada em Message Digest Fonte: A. S. Tanenbaum, Computer Networks, 4 th edition, Prentice Hall, 2003.
Protocolos de Autenticação Técnica utilizada para garantir a autenticação segura Autenticação tradicional baseada em senha Senha deve ser trocada usando criptografia Para quem a senha está sendo enviada? Autenticação mais geral pessoas, máquinas, páginas, etc.
Autenticação usando chave simétrica
Falha na autenticação usando chave simétrica
Assinatura Digital e Autenticação As duas técnicas são usadas em conjunto Acesso a páginas web como verificar que uma página é confiável? o navegador pode me ajudar? eu posso ajudar?
Acessando uma página web
Acessando uma página web: comércio eletrônico
Acessando uma página web
Engenharia Social Práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. se passar por outra pessoa assumir outra personalidade fingir que é um profissional de determinada área Uso da Internet para aumentar o ”público alvo” (spam), comunidades de relacionamento, salas de bate-papo.
Golpes usando
Golpes usando arquivo executável para Windows
Golpes usando
Golpes usando site denunciado
Golpes usando informação sobre phishing
Golpes usando url diferente do texto nslookup Name: Address:
Conclusões Não existe sistema 100% seguro mantenha seu sistema sempre atualizado falhas documentadas e não corrigidas deixam o sistema vulnerável Segurança não é um problema apenas tecnológico Cultura de uso de rede deve ser desenvolvida informação deve ser trocada de forma responsável Não seja curioso e nem queira se dar bem! Desconfie sempre.
Perguntas? Carlos de Castro Goulart