redes de computadores - principal · –escribas hebreus, escrevendo o livro de jeremias, usaram a...
TRANSCRIPT
Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
Segurança da Informação
• Segurança do Computador – Conjunto de ferramentas projetadas para proteger
dados e impedir ataques
• Ataques – Passivos
– Ativos
• Mecanismo de Segurança – Qualquer processo (ou dispositivo incorporado ao
processo) projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Serviços de Segurança
– Incluem:
• Autenticação
• Controle de acesso
• Confidencialidade de dados
• Integridade de dados
• Irretratabilidade
• Disponibilidade
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Segurança de Redes
– Proteger os dados durante a transmissão
• Redes de Computadores
– Conjunto de redes interconectadas
– Inter-redes
– Segurança inter-redes
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Arquitetura de Segurança OSI(Open Systems Interconnection)
– Recomendação X.800 da ITU-T(International Telecommunication Union – Telecommunication Standardization Sector)
– Enfoca ataques, mecanismos e serviços de segurança
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Arquitetura de Segurança OSI(Open Systems Interconnection) – Ataques à segurança
• Qualquer ação que comprometa a segurança da informação pertencente a uma organização
– Mecanismo de segurança • Processo (ou dispositivo incorporado ao processo) que é projetado
para detectar, impedir ou permitir a recuperação de um ataque à segurança
– Serviço de segurança • Serviço de processamento ou comunicação que aumenta a
segurança dos sistemas de processamento de dados e as transferências de informação de uma organização
• Servem para frustrar ataques à segurança
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Ameaças e Ataques (RFC 2828) • Ameaça
– Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos
– Possível perigo
• Ataque – Derivado de uma ameaça inteligente – Ato inteligente que é uma tentativa deliberada de
burlar os serviços de segurança e violar a política de segurança de um sistema
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Ataques à Segurança - Ataques Passivos – Possuem a natureza de bisbilhotar ou monitorar
transmissões
– Objetivo: obter informações que estão sendo transmitidas
– São difíceis de detectar
– Tipos: • Liberação de Conteúdo
– Leitura
• Análise de tráfego – Lê e observa padrões
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Ataques à Segurança - Ataques Passivos
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Ataques à Segurança - Ataques Passivos
www.ricardojcsouza.com.br [email protected]
Fonte da Imagem: http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless034_clip_image001.jpg
• Ataques à Segurança - Ataques Ativos – Envolve a modificação do fluxo de dados ou a criação
de um fluxo falso
– Tipos: • Disfarce
– Entidade finge ser uma entidade diferente
• Repetição – Captura passiva de uma unidade de dados e a subsequente
retransmissão para produzir um efeito não autorizado
• Modificação da Mensagem – Parte da mensagem legítima é alterada
• Negação do Serviço – Impede ou inibe o uso ou gerenciamento normal das
comunicações
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Ataques Ativos
Segurança de Informação www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Ataques à Segurança - Ataques Ativos
www.ricardojcsouza.com.br [email protected]
Fonte da Imagem: http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless034_clip_image002.jpg
• Serviços de Segurança
– Recomendação X.800
• Security Architecture for Open Systems Interconnection for ITU-T(International Telecommunication Union – Telecommunication Standardization Sector)
– Define serviço de segurança como um serviço fornecido por uma camada de protocolo de comunicação de sistemas abertos
– Garante segurança adequada dos sistemas ou da transferência dos dados
– Divide os serviços em cinco categorias
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Autenticação
– Assegurar que a comunicação é autêntica
– A entidade se comunicando é aquela que ela afirma ser
– Serviços de autenticação:
• Autenticação de entidade par – Provê a confirmação da identidade de uma entidade par de
uma associação
• Autenticação da origem de dados – Provê a confirmação da origem de uma unidade de dados
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Controle de Acesso
– Capacidade de limitar e controlar o acesso aos sistemas e aplicações hospedeiras por meio de enlaces de comunicação
– Impedimento de uso não autorizado de um recurso
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Confidencialidade
– Proteção dos dados contra divulgação não autorizada
– Proteção contra ataques passivos
• Confidencialidade da Conexão
– Proteção dos dados do usuário em uma conexão
• Confidencialidade sem conexão
– Proteção dos dados do usuário em um único bloco
• Confidencialidade por campo selecionado
– Confidencialidade em determinados campos selecionados dentro dos dados do usuário
• Confidencialidade de fluxo
– Proteção da informação que poderiam ser derivadas da observação dos fluxos de tráfego
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Integridade dos Dados
– Proteção total do fluxo de dados contra alterações
– Garante mensagem ser recebida conforma enviada, sem duplicações, inserção, modificação ou repetição
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Irretratabilidade – Impede que o emissor ou receptor negue uma
mensagem transmitida
– Quando a mensagem é enviada, o receptor pode provar que o emissor alegado de fato enviou a mensagem
– Proteção contra negação, por parte da entidades envolvidas em uma comunicação, de ter participado de toda ou em parte da comunicação
– Origem • Prova que a mensagem foi enviada pela parte especificada
– Destino • Prova que a mensagem foi recebida pela parte especificada
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Serviço de Disponibilidade
– Propriedade do sistema ou de um recurso ser acessível e utilizável sob demanda por uma entidade autorizada do sistema
– Protege o sistema para garantir disponibilidade
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Mecanismos de Segurança Específicos – Usado para detectar, prever ou recuperar a
informação após um ataque à segurança
– Implementados em camadas específicas do protocolo
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Mecanismos de Segurança Específicos – Cifragem
• Uso de algoritmos matemáticos para transformar os dados em um formato que não seja decifrável
– Assinatura Digital • Dados anexados a uma unidade de dados que permite
que um destinatário da unidade de dados comprove a origem e a integridade da unidade de dados e proteja-se contra falsificação
– Controle de Acesso • Série de mecanismos que impõe direitos de acesso a
recursos
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Mecanismos de Segurança Específicos – Integridade de Dados
• Série de mecanismos utilizados para garantir a integridade de dados ou fluxo de dados
– Troca de Informações de Autenticação • Mecanismo com o objetivo de garantir a identificação
de uma entidade por meio da troca de informações
– Preenchimento de Tráfego • Inserção de bits nas lacunas de um fluxo de dados para
frustrar as tentativas de análise de tráfego
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Mecanismos de Segurança Específicos –Controle de Roteamento
• Permite a seleção de determinadas rotas fisicamente seguras para certos dados e permitem mudanças de roteamento
–Certificação • Uso de uma terceira unidade confiável para garantir
certas propriedades de uma troca de dados
Segurança de Informação www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Mecanismos de Segurança Pervasivos
– Mecanismos que não são específicos a qualquer serviço de segurança ou camada de protocolo
– Funcionalidade Confiável
• Considerada como sendo correta em relação a alguns critérios
– Rótulo de Segurança
• Marcação vinculada a um recurso que nomeia ou designa os atributos de segurança desse recurso
www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Mecanismos de Segurança Pervasivos – Detecção de Evento
• Detecção de eventos relevantes à segurança
– Registros de Auditoria de Segurança • Dados coletados e potencialmente utilizados para
facilitar uma auditoria de segurança
– Recuperação de Segurança • Lida com solicitações de mecanismos como funções de
tratamento e gerenciamento de eventos e toma mediadas de recuperação
www.ricardojcsouza.com.br [email protected]
• Modelo para Segurança de Redes
– Projetar algoritmo para realizar a transformação relacionada à segurança
– Gerar a informação secreta (chave) a ser usada com o algoritmo
– Desenvolver métodos de distribuição e compartilhamento das informações
– Especificar protocolo a ser usado pela entidades
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Modelo para Segurança de Redes
– Mensagem deve ser transferida de uma parte para outra da rede por meio de algum tipo de inter-rede
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Modelo para Segurança de Redes
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• CRIPTOGRAFIA
– Conjunto de técnicas que permitem tornar “incompreensível” uma mensagem originalmente escrita com clareza, de forma a permitir que apenas o destinatário a decifre e a compreenda
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Criptoanálise
– do grego kryptos + análysis (decomposição) - ciência que estuda a decomposição do que está oculto ou a “quebra” do sistema criptográfico
• Ataque de Força Bruta
– Atacante experimenta cada chave possível em um trecho de texto cifrado até obter a tradução inteligível para o texto claro
• Criptologia
– Criptografia + Criptoanálise
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Pré-requisitos da Criptografia
– Teoria de Números
– Matemática Discreta
– Teoria da Informação
– Teoria de Probabilidade
– Complexidade Computacional
– Processamento de Sinais
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Terminologia Básica de Criptografia – Texto Claro (Plain Text)
• Mensagem ou dados originais, inteligíveis, alimentados no algoritmo como entrada
– Algoritmo de Criptografia • Realiza diversas substituições e transformações no texto
claro
– Chave Secreta • Também é entrada para o algoritmo criptográfico
• Valor independente do texto claro
• Substituições e transformações realizadas pelo algoritmo dependem da chave
• Segredo por meio do qual a mensagem pode ser cifrada ou decifrada
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Terminologia Básica de Criptografia
– Texto Cifrado
• Mensagem embaralhada, produzida como saída
• Depende do texto claro, do algoritmo e da chave
• Fluxo de dados aparentemente aleatório e, nesse formato, ininteligível
– Algoritmo de Decriptografia
• Algoritmo de criptografia executado de modo inverso
• Toma o texto cifrado e a chave secreta e produz o texto original
Segurança de Informação www.ricardojcsouza.com.br [email protected]
Segurança da Informação
• Modelo de Cifra Simétrica
www.ricardojcsouza.com.br [email protected]
Fonte da Imagem: http://t0.gstatic.com/images?q=tbn:ANd9GcTgkbhPbeEYGT3hha1Yqr13gGecPKFGKJ-uicu9qImfHSvnU_uy
Segurança da Informação
• Modelo de Cifra Assimétrica
www.ricardojcsouza.com.br [email protected]
Fonte da Imagem: http://www.bpiropo.com.br/graficos/FPC20071203_2.jpg
• Fases da Evolução da Criptografia
– Criptografia manual
– Criptografia por máquinas
– Criptografia em rede
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Criptografia Manual
– A criptografia era feita manualmente através de algum processo predeterminado
– Exemplos:
• Mesopotâmia
• Cifras Hebraicas
• Bastão de Licurgo
• Crivo de Erastótenes
• Código de Políbio
• Código de César
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• 1500 a.C.
– O primeiro registro do uso da criptografia nesta região está numa fórmula para fazer esmaltes para cerâmica
– O tablete que contém a fórmula tem apenas cerca de 8 cm x 5 cm e foi achado às margens do rio Tigre
– Usava símbolos especiais que podem ter vários significados diferentes. (Kahn)
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• 600 a 500 a.C. – Escribas hebreus, escrevendo o livro de
Jeremias, usaram a cifra de substituição simples pelo alfabeto reverso conhecida como ATBASH
– As cifras mais conhecidas da época são o ATBASH, o ALBAM e o ATBAH, as chamadas cifras hebraicas. (Kahn)
• ATBASH – A primeira letra do alfabeto hebreu
(Aleph) é trocada pela última (Taw), a segunda letra (Beth) e trocada pela penúltima (Shin) e assim sucessivamente
– Destas quatro letras deriva o nome da cifra: Aleph Taw Beth SHin - ATBASH
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• 487 a.C. - Bastão de Licurgo
– O remetente escreve a mensagem ao longo do bastão e depois desenrola a tira, a qual então se converte numa sequência de letras sem sentido
– O mensageiro usa a tira como cinto, com as letras voltadas para dentro
– O destinatário, ao receber o "cinto", enrola-o no seu bastão, cujo diâmetro é igual ao do bastão do remetente
– Desta forma, pode ler a mensagem
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Crivo de Erastótenes
– Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C
– Um método simples e prático para encontrar números primos até um certo valor limite
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Crivo de Erastótenes - ± 240 a.C – Determinar maior número a ser
checado (raiz do valor limite arredondado para baixo. (Ex: Raiz[20]=4,4721.. 4)
– Criar lista todos inteiros acima 1 até o limite (20)
– Encontrar o primeiro primo da lista (2) – Remover todos os múltiplos do primo
encontrado – Encontre o próximo da lista e repita a
operação – Os números que não estiverem
eliminados são os números primos – Exemplo: Determinar os primos
menores ou igual a 20
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código de Políbio - ± 150 a.C – Cada letra é representada pela combinação de
dois números, os quais se referem à posição ocupada pela letra
– Desta forma, A é substituído por 11, B por 12...,
– A mensagem pode ser transmitida com dois grupos de 5 tochas
– Por exemplo, a letra E é transformada em 1 e 5 e pode ser transmitida com 1 tocha à direita e 5 à esquerda
– Um sistema de telecomunicação - um telégrafo ótico
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código de Políbio - ± 150 a.C
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código de César- 50 a.C.
– Cada letra da mensagem original é substituída pela letra que a seguia em três posições no alfabeto: a letra A substituída por D, a B por E, e assim até a última letra, cifrada com a primeira
– Único da antiguidade usado até hoje, apesar de representar um retrocesso em relação à criptografia existente na época
– Denominação atual para qualquer cifra baseada na substituição cíclica do alfabeto: Código de César
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código de César- 50 a.C.
• A cifra ROT13, que surgiu em 1984 na USENET, baseia-se
numa substituição na posição 13 (A por N, B por O, etc)
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Criptografia por Máquinas – Uma tabela predeterminada era usada em
conjunto com uma máquina, em que o operador desta, usando a tabela e manipulando a máquina, podia enviar uma mensagem criptografada
– Exemplos de máquinas de criptografia: • O Cilindro de Jefferson
• O Código Morse
• O Código Braille
• O Código ASCII
• A Máquina Enigma
• A Máquina Colossus
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• O cilindro de Jefferson (Thomas Jefferson, 1743-1826) – Na sua forma original, é composto por
26 discos de madeira que giram livremente ao redor de um eixo central de metal
– As vinte e seis letras do alfabeto são inscritas aleatoriamente na superfície mais externa de cada disco de modo que, cada um deles, possua uma sequência diferente de letras
– Girando-se os discos pode-se obter as mensagens
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Samuel Morse (1791-1872)
– Desenvolveu o código que recebeu o seu nome
– Na verdade não é um código, mas sim um alfabeto cifrado em sons curtos( . ) e longos( - )
– Morse também foi o inventor do telégrafo
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código Morse (1791-1872)
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Louis Braille (1809-1852)
– O Código Braille consiste de 63 caracteres, cada um deles constituído por 1 a 6 pontos dispostos numa matriz ou célula de seis posições
– O Sistema Braille é universalmente aceito e utilizado até os dias de hoje
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código Braille (1809-1852)
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código ASCII – Gottfried Wilhelm von Leibniz (1646-1716)
inventou o cálculo diferencial e integral, a máquina de calcular e descreveu minuciosamente o sistema binário
– Sua máquina de calcular usava a escala binária
– Esta escala, obviamente mais elaborada, é utilizada até hoje e é conhecida como código ASCII (American Standard Code for Information Interchange)
– Permitiu que máquinas de diferentes fabricantes trocassem dados entre si
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Código ASCII
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• Máquina Enigma (1919)
– Máquina cifradora baseada em rotores
– Foi um dos segredos mais bem guardados na Segunda Grande Guerra, usada pelos Alemães para proteger as comunicações entre o comando e as embarcações navais
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• 1940 (Alan Turing e sua equipe) Heath Robinson
– Construção do primeiro computador operacional para o serviço de inteligência britânico
– Utilizava tecnologia de relés e foi construído especificamente para decifrar mensagens alemãs (durante a Segunda Guerra Mundial) cifradas pela máquina Enigma
Segurança de Informação www.ricardojcsouza.com.br [email protected]
• 1943 – Alan Turing
– Desenvolvem uma nova máquina para substituir o Heath Robinson – Colossus
Segurança de Informação www.ricardojcsouza.com.br [email protected]
Referências
• STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008.
• FECHINI, Joseana Macêdo. Segurança da Informação. Disponível em http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html .
• BRAGA, Hugo Rodrigo. HISTÓRIA DA CRIPTOLOGIA – Antiguidade. Disponível em http://www.hu60.com.br/assuntos/criptologia.php .
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.
• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.
www.ricardojcsouza.com.br [email protected]