© 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide.

Apresentação em tema: "© 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide."— Transcrição da apresentação:

1 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Capítulo 8 Segurança em rede © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 1 Nota sobre o uso destes slides ppt: Estamos disponibilizando estes slides gratuitamente a todos (professores, alunos, leitores). Eles estão em formato do PowerPoint para que você possa incluir, modificar e excluir slides (incluindo este) e o conteúdo do slide, de acordo com suas necessidades. Eles obviamente representam muito trabalho da nossa parte. Em retorno pelo uso, pedimos apenas o seguinte: Se você usar estes slides (por exemplo, em sala de aula) sem muita alteração, que mencione sua fonte (afinal, gostamos que as pessoas usem nosso livro!). Se você postar quaisquer slides sem muita alteração em um site Web, que informe que eles foram adaptados dos (ou talvez idênticos aos) nossos slides, e inclua nossa nota de direito autoral desse material. Obrigado e divirta-se! JFK/KWR Todo o material copyright 1996-2009 J. F Kurose e K. W. Ross, Todos os direitos reservados.

2 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 2 Nota sobre o uso destes slides ppt: Partes dos slides originais foram suprimidas ou alteradas para adaptar o material à ementa da disciplina Redes 1 da Unirio. Todo o material copyright 1996-2009 J. F Kurose e K. W. Ross, Todos os direitos reservados. © 2010 Pearson Prentice Hall. Todos os direitos reservados. slide 2 Capítulo 8 Segurança em rede

3 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 3 Capítulo 8: Segurança em rede Objetivos do capítulo: r entender os princípios de segurança em rede: m criptografia e seus muitos usos além da “confidencialidade” m autenticação m integridade de mensagem m disponibilidade r segurança na prática: m firewalls e sistemas de detecção de invasão m segurança nas camadas de aplicação, transporte, rede e enlace de dados

4 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 4 O que é segurança na rede? Confidencialidade: apenas remetente e destinatário pretendido devem “entender” conteúdo da mensagem m remetente criptografa mensagem m destinatário decripta mensagem Autenticação: remetente e destinatário querem confirmar a identidade um do outro Integridade da mensagem: remetente e destinatário querem garantir mensagem não alterada (em trânsito ou depois) sem detecção Acesso e disponibilidade: serviços precisam ser acessíveis e disponíveis aos usuários

5 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 5 Amigos e inimigos: Alice, Bob, Trudy r bem conhecidos no mundo da segurança em rede r Bob, Alice (amigos!) querem se comunicar “com segurança” r Trudy (intrusa) pode interceptar, excluir, acrescentar mensagens remetente seguro destinatário seguro canal dados, mensagens de controle dados Alice Bob Trudy

6 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 6 Quem poderiam ser Bob e Alice? r … bem, Bobs e Alices da vida real! r navegador Web/servidor de transações eletrônicas (p. e., compras on-line) r cliente/servidor de “Internet banking” r servidores DNS r roteadores trocando atualizações da tabela de roteamento r outros exemplos?

7 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 7 Existem perversos (e perversas) lá fora! P: O que um “perverso” pode fazer? R: Muita coisa! m bisbilhotar: interceptar mensagens m inserir ativamente mensagens na conexão m personificação: pode forjar (falsificar) endereço IP no pacote (ou qualquer campo no pacote) m sequestrar: “apoderar-se” da conexão em andamento removendo remetente ou destinatário, inserindo-se no local m negação de serviço: impedir que serviço seja usado por outros (p. e., sobrecarregando recursos)

8 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 8 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

9 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 9 A linguagem da criptografia m mensagem em texto aberto K A (m) texto cifrado, criptografado com chave K A m = K B (K A (m)) texto aberto texto cifrado K A algoritmo criptografia algoritmo decriptação chave de criptografia de Alice K B chave de decriptação de Bob

10 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 10 Esquema de criptografia simples cifra de substituição: substituir uma coisa por outra m cifra monoalfabética: substituir uma letra por outra texto aberto: abcdefghijklmnopqrstuvwxyz texto cifrado: mnbvcxzasdfghjklpoiuytrewq texto aberto: bob. i love you. alice texto cifrado: nkn. s gktc wky. mgsbc p. e.: Segredo: o mapeamento do conjunto de 26 a outro conjunto de 26 letras

11 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 11 Criptografia polialfabética r n cifras monoalfabéticas, M 1,M 2,…,M n r Padrão cíclico: m p. e., n = 4, M 1,M 3,M 4,M 3,M 2 ; M 1,M 3,M 4,M 3,M 2 ; r Para cada novo símbolo de texto aberto, use padrão monoalfabético subsequente no padrão cíclico m dog: d de M 1, o de M 3, g de M 4 r Segredo: as n cifras e o padrão cíclico

12 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 12 Quebrando um esquema de criptografia r Ataque apenas a texto cifrado: Trudy tem o texto cifrado que ela pode analisar r Duas técnicas: m Procura por todas as chaves: deve ser capaz de diferenciar texto aberto resultante do texto sem sentido m Análise estatística r Ataque de texto aberto conhecido: Trudy tem algum texto aberto correspondente a algum texto cifrado m p. e., na cifra monoalfabética, Trudy determina pares para a,l,i,c,e,b,o, r Ataque de texto aberto escolhido: Trudy pode conseguir o texto cifrado para algum texto aberto escolhido

13 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 13 Tipos de criptografia r criptografia normalmente usa chaves: m algoritmo é conhecido de todos m somente “chaves” são secretas r criptografia de chave pública m envolve o uso de duas chaves r criptografia de chave simétrica m envolve o uso de uma chave r funções de hash m não envolve o uso de chaves m nada secreto: Como isso pode ser útil?

14 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 14 Criptografia de chave simétrica criptografia de chave simétrica: Bob e Alice compartilham alguma chave (simétrica) : K r p. e., segredo é saber padrão de substituição na cifra de substituição monoalfabética P: Como Bob e Alice combinam um valor de segredo? texto aberto texto cifrado K S algoritmo de criptografia algoritmo de decriptação S K S mensagem de texto aberto, m K (m) S m = K S (K S (m))

15 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 15 Dois tipos de cifras simétricas r Cifras de fluxo m criptografam um bit por vez r Cifras de bloco m Quebram a mensagem de texto aberto em blocos de mesmo tamanho m Criptografam cada bloco como uma unidade

16 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 16 Cifras de fluxo r Combinam cada bit da sequência de chaves com bit de texto aberto para obter bit de texto cifrado r m(i) = iº bit da mensagem r ks(i) = iº bit da sequência de chaves r c(i) = iº bit do texto cifrado r c(i) = ks(i)  m(i) (  = OR exclusivo, ou XOR) r m(i) = ks(i)  c(i) gerador de sequência de chaves chave sequência de chaves pseudoaleatória

17 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 17 Função de protótipo entrada de 64 bits S1S1 8bits S2S2 S3S3 S4S4 S7S7 S6S6 S5S5 S8S8 codificador de 64 bits saída de 64 bits Loop para n ciclos mapeamento 8 bits para 8 bits Fonte: Kaufman, 1995

18 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 18 Criptografia de chave simétrica: DES DES: Data Encryption Standard r Padrão de criptografia dos EUA [NIST 1993] r chave simétrica de 56 bits, texto aberto de 64 bits r cifra de bloco com Cipher Block Chaining r Qual a segurança do DES? m desafio do DES: frase criptografada com chave de 56 bits decriptada (força bruta) em menos de um dia m nenhum bom ataque analítico conhecido r tornando o DES mais seguro: m 3DES: criptografa 3 vezes com 3 chaves diferentes (na verdade, criptografa, decripta, criptografa)

19 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 19 permutação inicial 16 “ciclos” idênticos de aplicação de função, cada um usando 48 bits diferentes de chave permutação final Operação do DES

20 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 20 AES: Advanced Encryption Standard r novo (Nov. 2001) padrão do NIST para chave simétrica, substituindo o DES r processa dados em blocos de 128 bits r chaves de 128, 192 ou 256 bits r decriptação por força bruta (tentar cada chave) levando 1 segundo no DES, leva 149 trilhões de anos para AES

21 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 21 Criptografia de chave pública chave simétrica r requer que remetente e destinatário conheçam chave secreta r P: Como combinar sobre a chave em primeiro lugar (principalmente se nunca se “encontraram”)? chave pública r técnica radicalmente diferente [Diffie- Hellman76, RSA78] r remetente e destinatário não compartilham chave secreta r chave criptográfica pública conhecida por todos r chave de decriptação privada conhecida apenas pelo receptor

22 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 22 mensagem de texto aberto, m texto cifrado algoritmo de criptografia algoritmo de decriptação Chave pública de Bob mensagem de texto aberto K (m) B + K B + Chave privada de Bob K B - m = K ( K (m) ) B + B -

23 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 23 Algoritmo de criptografia de chave pública precisa de K ( ) e K ( ) tais que B B.. dada a chave pública K, deverá ser impossível calcular chave privada K B B Requisitos: 1 2 RSA: Algoritmo de Rivest, Shamir, Adelson + - K (K (m)) = m B B - + + -

24 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 24 RSA: aprontando r Uma mensagem é um padrão de bits. r Um padrão de bits pode ser representado exclusivamente por um número inteiro. r Assim, criptografar uma mensagem é equivalente a criptografar um número. Exemplo r m = 10010001. Essa mensagem é representada exclusivamente pelo número decimal 145. r Para criptografar m, criptografamos o número correspondente, que gera um novo número (o texto cifrado).

25 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 25 RSA: Criando par de chave pública/privada 1. Escolha dois números primos grandes p, q. (p. e., 1024 bits cada) 2. Calcule n = pq, z = (p-1)(q-1) 3. Escolha e (com e<n) que não tenha fatores comuns com z. (e, z são “relativamente primos”). 4. Escolha d tal que ed-1 seja divisível exatamente por z. (em outras palavras: ed mod z = 1 ). 5. Chave pública é (n,e). Chave privada é (n,d). K B + K B -

26 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 26 RSA: criptografia, decriptação 0. Dados (n,e) e (n,d) conforme calculamos 1. Para criptografar a mensagem m (<n), calcule c = m mod n e 2. Para decriptar padrão de bits recebido, c, calcule m = c mod n d m = (m mod n) e mod n d A mágica acontece! c

27 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 27 Exemplo de RSA: Bob escolhe p = 5, q = 7. Depois, n = 35, z = 24. e = 5 (assim, e, z relativamente primos). d = 29 (assim, ed-1 divisível exatamente por z). padrão de bits m m e c = m mod n e 0000l000 12 24832 17 c m = c mod n d 17 481968572106750915091411825223071697 12 c d criptografia: decriptação : Criptografando mensagens de 8 bits.

28 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 28 Por que RSA funciona? r Deve mostrar que c d mod n = m onde c = m e mod n r Fato: para qualquer x e y: x y mod n = x (y mod z) mod n m onde n = pq and z = (p-1)(q-1) r Assim, c d mod n = (m e mod n) d mod n = m ed mod n = m (ed mod z) mod n = m 1 mod n = m

29 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 29 RSA: outra propriedade importante A propriedade a seguir será muito útil adiante: K ( K (m) ) = m B B - + K ( K (m) ) B B + - = use chave pública primeiro, seguida por chave privada use chave privada primeiro, seguida por chave pública O resultado é o mesmo!

30 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 30 Segue diretamente da aritmética modular: (m e mod n) d mod n = m ed mod n = m de mod n = (m d mod n) e mod n K ( K (m) ) = m B B - + K ( K (m) ) B B + - = Por que ?

31 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 31 Por que RSA é seguro? r Suponha que você conheça a chave pública de Bob (n,e). Qual é a dificuldade de determinar d? r Basicamente, é preciso encontrar fatores de n sem conhecer os dois fatores p e q. r Fato: fatorar um número muito grande é difícil. Gerando chaves RSA r É preciso achar números primos p e q grandes r Técnica: crie uma boa estimativa e depois aplique regras de teste (ver Kaufman)

32 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 32 Chaves de sessão r Exponenciação é computacionalmente intensa r DES é pelo menos 100 vezes mais rápido que RSA Chave de sessão, K S r Bob e Alice usam RSA para trocar uma chave simétrica K S r Quando ambos tiverem K S, eles usam a criptografia de chave simétrica

33 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 33 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

34 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 34 Integridade de mensagem r permite a comunicação das partes para verificar que as mensagens recebidas são autênticas. m conteúdo da mensagem não foi alterado m origem da mensagem é quem/o que você pensa ser m mensagem não foi reproduzida replay m sequência de mensagens é mantida r primeiro, vamos falar sobre resumos de mensagem

35 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 35 Resumos de mensagem r função H( ) que toma como entrada uma mensagem de tamanho qualquer e gera uma sequência de tamanho fixo: “assinatura da mensagem” r note que H( ) é uma função muitos-para-um r H( ) normalmente é chamada “função de hash” r propriedades desejáveis: m fácil de calcular m irreversibilidade: não é possível saber m por H(m) m resistência a colisão: computacionalmente difícil de produzir m e m’ tal que H(m) = H(m’) m saída aparentemente aleatória mensagem grande m H: função de hash H(m)

36 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 36 Algoritmos de função de hash r função de hash MD5 bastante usada (RFC 1321) m calcula resumo de mensagem de 128 bits em processo de 4 etapas. r SHA-1 também é usado. m padrão nos EUA [ NIST, FIPS PUB 180-1] m resumo de mensagem de 160 bit

37 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 37 Message Authentication Code (MAC) mensagem H( ) s mensagem s H( ) compara s = segredo compartilhado r autentica remetente r verifica integridade da mensagem r sem criptografia! r também chamado “hash chaveado” r notação: MD m = H(s||m) ; envia m||MD m

38 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 38 HMAC r padrão mac popular mac r resolve algumas falhas de segurança sutis 1. Concatena segredo à frente da mensagem. 2. Mensagem concatenada aos hashes. 3. Concatena o segredo à frente do resumo. 4. Cria hash da combinação novamente.

39 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 39 Exemplo: OSPF r lembre-se de que OSPF é um protocolo de roteamento intra-AS r cada roteador cria mapa do AS inteiro (ou área) e executa algoritmo do caminho mais curto pelo mapa. r roteador recebe anúncios de estado do enlace (LSAs) de todos os outros roteadores no AS. Ataques: r inserção de mensagem r exclusão de mensagem r modificação de mensagem r como sabemos se uma mensagem OSPF é autêntica?

40 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 40 Autenticação OSPF r dentro de um sistema autônomo, roteadores enviam mensagens OSPF entre si. r OSPF oferece escolhas de autenticação m Sem autenticação m Senha compartilhada: inserida em aberto no campo de autenticação de 64 bits no pacote OSPF m hash criptográfico r hash criptográfico com MD5 m campo de autenticação de 64 bits inclui número de sequência de 32 bits m MD5 é executado sobre uma concatenação do pacote OSPF e chave secreta compartilhada m hash MD5 então anexado ao pacote OSPF; encapsulado no datagrama IP

41 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 41 Autenticação do ponto final r deseja ter certeza do remetente da mensagem – autenticação do ponto final r supondo que Alice e Bob tenham um segredo compartilhado, MAC oferecerá autenticação do ponto final m sabemos que Alice criou a mensagem m mas ela a enviou?

42 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 42 MAC Transferir US$1M de Bill para Trudy MAC Transferir US$1M de Bill para Trudy Ataque de reprodução MAC = f(msg,s)

43 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 43 “Eu sou Alice” R MAC Transferir US$1M de Bill para Susan MAC = f(msg,s,R) Defendendo contra ataque de reprodução: nonce

44 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 44 Assinaturas digitais Técnica criptográfica semelhante a assinaturas escritas a mão. r remetente (Bob) assina documento digitalmente, estabelecendo que é o dono/criador do documento. r objetivo semelhante a um MAC, exceto que agora usamos criptografia de chave pública. r verificável, não falsificável: destinatário (Alice) pode provar a alguém que Bob, e ninguém mais (incluindo Alice), deverá ter assinado o documento.

45 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 45 assinatura digital simples para mensagem m: r Bob assina m criptografando com sua chave privada K B, criando mensagem “assinada”, K B (m) - - Querida Alice Como eu sinto sua falta. Penso em você o tempo todo! …(blah blah blah) Bob Mensagem de Bob, m Algoritmo de criptografia de chave pública Chave privada de Bob K B - Mensagem de Bob, m, assinada (criptografada) com sua chave privada K B - (m)

46 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 46 mensagem grande m H: função de hash H(m) assinatura digital (criptog.) chave privada de Bob K B - + Bob envia mensagem assinada em forma digital: Alice verifica assinatura e integridade da mensagem assinada em forma digital: K B (H(m)) - resumo de msg. criptog. K B (H(m)) - resumo de msg. criptog. mensagem grande m H: função de hash H(m) assinatura digital (decript.) H(m) chave pública de Bob K B + igual ? Assinatura digital = resumo de mensagem assinada

47 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 47 Assinaturas digitais (mais) r Suponha que Alice receba msg m, assinatura digital K B (m) r Alice verifica m assinada por Bob aplicando chave pública de Bob K B a K B (m), depois verifica K B (K B (m) ) = m. r se K B (K B (m) ) = m, quem assinou m deve ter usado a chave privada de Bob. + + - - - Assim, Alice verifica se: ü Bob assinou m. ü Ninguém mais assinou m. ü Bob assinou m e não m’. Não repudiação: Alice pode levar m e assinatura K B (m) ao tribunal e provar que Bob assinou m. +

48 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 48 Certificação de chave pública r motivação: Trudy prega peça da pizza em Bob m Trudy cria pedido por e-mail: Prezada pizzaria, Por favor, me entregue quatro pizzas de calabresa. Obrigado, Bob. m Trudy assina pedido com sua chave privada m Trudy envia pedido à pizzaria m Trudy envia à pizzaria sua chave pública, mas diz que é a chave pública de Bob. m pizzaria verifica assinatura; depois, entrega quatro pizzas para Bob. m Bob nem sequer gosta de calabresa.

49 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 49 Autoridades de certificação r autoridade de certificação (CA): vincula chave pública à entidade particular, E. r E (pessoa, roteador) registra sua chave pública com CA. m E fornece “prova de identidade” à CA. m CA cria certificado vinculando E à sua chave pública. m certificado contendo chave pública de E assinada digitalmente pela CA – CA diz “esta é a chave pública de E” chave pública de Bob K B + informação de identificação de Bob assinatura digital (cript.) chave privada da CA K CA - K B + certificado para chave pública de Bob, assinada pela CA

50 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 50 r quando Alice quer a chave pública de Bob: m recebe certificado de Bob (Bob ou outro). m aplica chave pública da CA ao certificado de Bob, recebe chave pública de Bob chave pública de Bob K B + assinatura digital (decript.) chave pública da CA K CA + K B +

51 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 51 Certificados: resumo r padrão principal X.509 (RFC 2459) r certificado contém: m nome do emissor m nome da entidade, endereço, domínio etc. m chave pública da entidade m assinatura digital (assinada com a chave privada do emissor) r Public-Key Infrastructure (PKI) m certificados e autoridades de certificação m normalmente considerada “pesada”

52 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 52 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

53 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 53 E-mail seguro Alice:  gera chave privada simétrica aleatória, K S.  criptografa mensagem com K S (por eficiência)  também criptografa K S com chave pública de Bob.  envia K S (m) e K B (K S ) para Bob.  Alice quer enviar e-mail confidencial, m, para Bob. K S ( ). K B ( ). + + - K S (m ) K B (K S ) + m KSKS KSKS KBKB + Internet K S ( ). K B ( ). - KBKB - KSKS m K S (m ) K B (K S ) +

54 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 54 Bob:  usa sua chave privada para decriptar e recuperar K S  usa K S para decriptar K S (m) para recuperar m  Alice quer enviar e-mail confidencial, m, para Bob. K S ( ). K B ( ). + + - K S (m ) K B (K S ) + m KSKS KSKS KBKB + Internet K S ( ). K B ( ). - KBKB - KSKS m K S (m ) K B (K S ) +

55 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 55 Alice quer fornecer integridade da mensagem de autenticação do remetente. Alice assina mensagem digitalmente. envia mensagem (em aberto) e assinatura digital. H( ). K A ( ). - + - H(m ) K A (H(m)) - m KAKA - Internet m K A ( ). + KAKA + K A (H(m)) - m H( ). H(m ) compara

56 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 56 Alice quer fornecer sigilo, autenticação do remetente, integridade da mensagem. Alice usa três chaves: sua chave privada, chave pública de Bob, chave simétrica recém-criada H( ). K A ( ). - + K A (H(m)) - m KAKA - m K S ( ). K B ( ). + + K B (K S ) + KSKS KBKB + Internet KSKS

57 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 57 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

58 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 58 SSL: Secure Sockets Layer r protocolo de segurança bastante implantado m aceito por quase todos os navegadores e servidores Web m https m dezenas de bilhões de US$ gastos por ano sobre SSL r originalmente projetado pela Netscape em 1993 r número de variações: m TLS: Transport Layer Security, RFC 2246 r oferece m Confidencialidade m Integridade m Autenticação r objetivos originais: m teve em mente transações de comércio eletrônico na Web m criptografia (especialmente números de cartão de crédito) m autenticação de servidor Web m autenticação de cliente opcional m mínimo de incômodo ao fazer negócios com novos comerciantes r disponível a todas as aplicações TCP m Interface Secure Socket

59 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 59 SSL e TCP/IP Aplicação TCP IP aplicação normal Aplicação SSL TCP IP aplicação com SSL SSL oferece interface de programação de aplicação (API) às aplicações bibliotecas/classes SSL em C e Java prontamente disponíveis

60 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 60 Poderia fazer algo como PGP: mas quer enviar fluxos de bytes & dados interativos quer um conjunto de chaves secretas para a conexão inteira quer parte de troca de certificado do protocolo: fase de apresentação (handshake) H( ). K A ( ). - + K A (H(m)) - m KAKA - m K S ( ). K B ( ). + + K B (K S ) + KSKS KBKB + Internet KSKS

61 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 61 SSL: um canal seguro simples r apresentação: Alice e Bob usam seus certificados e chaves privadas para autenticar um ao outro e trocar segredo compartilhado r derivação de chave: Alice e Bob usam segredo compartilhado para derivar conjunto de chaves r transferência de dados: dados a serem transferidos são desmembrados em uma série de registros r encerramento de conexão: mensagens especiais para encerrar conexão com segurança

62 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 62 Uma apresentação simples r MS = segredo mestre r EMS = segredo mestre criptografado olá certificado K B + (MS) = EMS

63 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 63 Derivação de chave r considerado ruim usar a mesma chave para mais de uma operação criptográfica m use chaves diferentes para código de autenticação de mensagem (MAC) e criptografia r quatro chaves: m K c = chave de criptografia para dados enviados do cliente ao servidor m M c = chave MAC para dados enviados do cliente ao servidor m K s = chave de criptografia para dados enviados do servidor ao cliente m M s = chave MAC para dados enviados do servidor ao cliente r chaves derivadas da função de derivação de chave (KDF) m toma segredo mestre e (possivelmente) alguns dados aleatórios adicionais e cria as chaves

64 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 64 Números de sequência r invasor pode capturar e reproduzir registro ou reordenar registros r solução: colocar número de sequência em MAC: m MAC = MAC(M x, sequência||dados) m nota: sem campo de número de sequência r invasor ainda poderia reproduzir todos os registros m use nonce aleatório

65 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 65 SSL não é completo r Qual é o tamanho dos campos? r Quais protocolos de criptografia? r sem negociação m permite que cliente e servidor admitam diferentes algoritmos de criptografia m permite que cliente e servidor escolham juntos algoritmo específico antes da transferência de dados

66 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 66 Cifras simétricas mais comuns em SSL r DES – Data Encryption Standard: bloco r 3DES – Força tripla: bloco r RC2 – Rivest Cipher 2: bloco r RC4 – Rivest Cipher 4: fluxo Criptografia de chave pública r RSA

67 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 67 apresentação: ClientHello apresentação: ServerHello apresentação: Certificate apresentação: ServerHelloDone apresentação: ClientKeyExchange ChangeCipherSpec apresentação: Finished ChangeCipherSpec apresentação: Finished application_data Alerta: warning, close_notify Conexão real TCP FIN em seguida Tudo daqui para a frente é criptografado

68 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 68 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

69 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 69 Qual é a confidencialidade na camada de rede? entre duas entidades de rede: r entidade remetente criptografa as cargas úteis dos datagramas. Carga útil pode ser: m Segmento TCP, segmento UDP, mensagem ICMP, mensagem OSPF e assim por diante. r todos os dados enviados de uma entidade para outra seriam ocultados: m Páginas Web, e-mail, transferência de arquivos P2P, pacotes SYN do TCP e assim por diante. r ou seja, “cobertura abrangente”.

70 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 70 Virtual Private Networks (VPNs) r instituições normalmente desejam redes privadas por segurança. m Claro! Roteadores e enlaces separados, infraestrutura de DNS. r com uma VPN, o tráfego entre escritórios da organização, em vez disso, é enviado pela Internet pública. m mas o tráfego é criptografado antes de entrar na Internet pública

71 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 71

72 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 72 Serviços IPsec r integridade de dados r autenticação da origem r prevenção de ataque de reprodução r confidencialidade r dois protocolos oferecendo diferentes modelos de serviço: m AH m ESP

73 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 73 Modo de transporte do IPsec r datagrama IPsec emitido e recebido pelo sistema final. r protege protocolos de nível superior IPsec

74 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 74 IPsec – modo túnel r Roteadores finais estão cientes do IPsec. Hospedeiros não precisam estar. IPsec

75 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 75 r também modo túnel IPsec

76 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 76 Dois protocolos r Protocolo Authentication Header (AH) m fornece autenticação da origem & integridade de dados, mas não confidencialidade r Encapsulation Security Protocol (ESP) m fornece autenticação da origem, integridade de dados e confidencialidade m mais utilizado que AH

77 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 77 Quatro combinações são possíveis! Modo hospedeiro com AH Modo hospedeiro com ESP Modo túnel com AH Modo túnel com ESP Mais comum e mais importante

78 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 78 Associações de segurança (SAs) r antes de enviar dados, uma conexão virtual é estabelecida pela entidade de envio à entidade receptora. r chamada “associação de segurança (SA)” m SAs são simples: apenas para uma direção r entidades remetente e destinatária mantêm informação de estado sobre a SA m lembre-se de que os pontos finais do TCP também mantêm informação de estado. m IP é sem conexão; IPsec é orientado a conexão! r Quantas SAs na VPN com matriz, filial e n vendedores viajando?

79 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 79 193.68.2.23 200.168.1.100 172.16.1/24 172.16.2/24 SA Internet Matriz Filial R1 R2 SA de exemplo de R1 para R2 armazenamentos R1 para SA r identificador de 32 bits para SA: Security Parameter Index (SPI) r interface de origem da SA (200.168.1.100) r interface de destino da SA (193.68.2.23) r tipo de criptografia a ser usada (por exemplo, 3DES com CBC) r chave de criptografia r tipo de verificação de integridade (por exemplo, HMAC com MD5) r chave de autenticação

80 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 80 O que acontece? 193.68.2.23 200.168.1.100 172.16.1/24 172.16.2/24 SA Internet Matriz Filial R1 R2

81 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 81 Internet Key Exchange r nos exemplos anteriores, estabelecemos manualmente SAs IPsec nos pontos finais IPsec: exemplo de SA SPI: 12345 IP de origem: 200.168.1.100 IP de destino: 193.68.2.23 protocolo: ESP algoritmo de criptação: 3DES-cbc algoritmo HMAC: MD5 chave de criptação: 0x7aeaca… chave HMAC: 0xc0291f … r essa troca de chaves manual não é prática para VPN grande com, digamos, centenas de vendedores r em seu lugar, use IPsec IKE (Internet Key Exchange)

82 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 82 IKE: PSK e PKI r autenticação (prova de quem você é) com m segredo previamente compartilhado (PSK) ou m com PKI (chaves e certificados públicos/privados) r com PSK, os dois lados começam com segredo: m depois executam IKE para autenticar entre si e gerar SAs IPsec (um em cada direção), incluindo chaves de criptografia e autenticação r com PKI, os dois lados começam com par de chaves pública/privada e certificado m executam IKE para autenticarem um ao outro e obterem SAs IPsec (um em cada direção) m semelhante à apresentação em SSL

83 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 83 Resumo do IPsec r troca de mensagem IKE para algoritmos, chaves secretas, números de SPI r o protocolo AH ou ESP (ou ambos) r o protocolo AH fornece integridade e autenticação da origem r o protocolo ESP (com AH) adicionalmente oferece criptografia r pares IPsec podem ser dois sistemas finais, dois roteadores/firewalls, ou um roteador/firewall e um sistema final

84 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 84 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

85 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 85 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem 8.4 Protegendo o e-mail 8.5 Protegendo conexões TCP: SSL 8.6 Segurança na camada de rede: IPsec 8.7 Segurança em LANs sem fio 8.8 Segurança operacional: firewalls e IDS

86 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 86 Firewalls isola rede interna da organização da Internet maior, permitindo que alguns pacotes passem e bloqueando outros. firewall rede administrada Internet pública firewall

87 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 87 Firewalls: Por que impedir ataques de negação de serviço: m inundação de SYN: atacante estabelece muitas conexões TCP falsas, sem recursos deixados para conexões “reais” impedir modificação/acesso ilegal de dados internos m p. e., atacante substitui página inicial da companhia por algo diferente permite apenas acesso autorizado à rede interna (conjunto de usuários/hospedeiros autenticados) três tipos de firewalls: m filtros de pacotes sem estado m filtros de pacotes com estado m gateways de aplicação

88 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 88 Gateways de aplicação r filtra pacotes nos dados da aplicação, além de campos IP/TCP/UDP. r exemplo: permitir seleção de usuários internos ao telnet externo. 1. requer que todos os usuários telnet passem pelo gateway. 2. para usuários autorizados, gateway estabelece conexão telnet ao hospedeiro de destino. Gateway repassa dados entre 2 conexões 3. filtro do roteador bloqueia todas as conexões telnet não originando do gateway.

89 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 89 Limitações de firewalls e gateways r falsificação de IP: roteador não sabe se os dados “realmente” vêm de fonte alegada r se múltiplas aplicações precisam de tratamento especial, cada uma tem gateway próprio. r software cliente deve saber como contatar gateway. m p. e., deve definir endereço IP do proxy no servidor Web r filtros normalmente usam toda ou nenhuma política para UDP. r dilema: grau de comunicação com mundo exterior, nível de segurança r muitos sites altamente protegidos ainda sofrem de ataques.

90 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 90 Sistemas de detecção de invasão r filtragem de pacotes: m opera apenas sobre cabeçalhos TCP/IP m sem verificação de correlação entre sessões r IDS: Intrusion Detection System m profunda inspeção de pacotes: examina conteúdo do pacote (p. e., verifica strings de caracteres no pacote contra banco de dados de vírus conhecidos e sequências de ataque) m examine correlação entre múltiplos pacotes escaneamento de portas mapeamento de rede ataque de DoS

91 © 2010 Pearson Prentice Hall. Todos os direitos reservados.slide 91 Segurança de rede (resumo) técnicas básicas…... m criptografia (simétrica e pública) m integridade da mensagem m autenticação do ponto final …. usado em muitos cenários de segurança diferentes m e-mail seguro m transporte seguro (SSL) m IPsec m 802.11 Segurança Operacional: firewalls e IDS