segurança de redes de computadores - principalricardojcsouza.com.br/download/novo_seguranca_redes_7...
TRANSCRIPT
Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
Camada Rede
• CAMADA INTER-REDE (REDE)– Controla as operações da sub-rede
– Efetua operações de funções características:• Mapeamento entre endereços de rede e endereços de
enlace
enlace
• Endereçamento- Utilização de endereços para identificação de usuários de
forma não-ambígua
• Roteamento
• Estabelece e libera conexões de rede
• Detecção e recuperação de erros
Arquitetura TCP/[email protected]
Host A
Transporte
Inter-rede
Aplicação
Host B
Transporte
Inter-rede
Aplicação
Inter-rede
Gateway
Pacote Idêntico
Mensagem Idêntica
Inter-rede
Interfacede Rede
Rede Física 1Intra-Rede
Inter-rede
Interfacede Rede
Rede Física 2Intra-Rede
Interface de Rede
Interface de Rede
QuadroIdêntico
DatagramaIdêntico
QuadroIdêntico
DatagramaIdêntico
Camadas Conceituais da Arquitetura Internet TCP/IP
Camada Rede
• CAMADA INTER-REDE (REDE)– Efetua operações de funções características:
• Sequenciação
• Controle de congestionamento
• Seleção de qualidade de serviço
• Seleção de qualidade de serviço- Especificação de parâmetros para garantir nível de qualidade
de serviço (taxa de erro, disponibilidade do serviço, confiabilidade, throughput (vazão), atraso, etc.)
• Multiplexação da conexão de rede- Várias conexões de rede em uma conexão de enlace
Camada Rede
• Camada Rede (Internet)
– Datagrama IP
VERS (4 bits): Versão do protocolo IP em uso. Por exemplo: IPv4 = 4.HLEN (4 bits): Tamanho do header do datagrama em 32 bits ou 4 bytes. Em geral possui 20 bytes: HLEN = 5.SERVICE TYPE ou TOS (TYPE OF SERVICE) (8 bits) – SERVIÇOS DIFERENCIADOS – Bits de Precedência (3) e Bits TOS (4). Precedência nunca foi usado. TOS de acordo com a tabela.TOTAL LENGTH: Tamanho total do datagrama em bytes.IDENTIFICATION: Identifica o datagrama fragmentado para associar estes fragmentos quando da remontagem no destino.FRAGMENT OFFSET: Posição do Fragmento no datagrama original, sendo que o primeiro Fragmento tem este campo = 0. Os demais, o número_byte / 8, assim sucessivamente.número_byte / 8, assim sucessivamente.FLAGS: Bit 1 (MF) – More Fragments (fragmento intermediário).Bit 2 (DF) – Don’t Fragment (não pode ser fragmentado).Bit 3 (RES) – Reserved (sem uso).TIME TO LIVE (TTL): Indica o tempo de vida que resta a um datagrama(originalmente em segundos); na prática, uma unidade é descontada em cada roteador. Hoje se utiliza o número de saltos (hops).PROTOCOL: Indica qual protocolo cujas informações estão sendo encapsuladas no campo DATA do datagrama (ex.: TCP = 6, UDP = 17, ICMP = 1).HEADER CHECKSUM: Garantia da integridade apenas do Header e não do campo DATA.SOURCE IP ADDRESS: Endereço IP de origem.DESTINATION IP ADDRESS: Endereço IP de destino.IP OPTIONS: Opções para operações especiais no tratamento dos datagramas.PADDING: Possibilita arredondamento do tamanho do Header IP para um valor múltiplo de 4 bytes, já que o campo HLEN utiliza esta unidade.DATA: Dados encapsulados do protocolo que faz uso deste datagramaIP para entrega de seus “dados” a seu “destino”.
Camada Rede
• ENDEREÇAMENTO IP– O roteamento dos datagramas através das sub-
redes são feitos baseados no seu endereço IP
– Números de 32 bits (4 bytes) normalmente escritos com quatro octetos (em decimal)
escritos com quatro octetos (em decimal)
– 232 endereços possíveis• Exemplo:
191.179.12.66
– Cada parte pode variar de 0 a 255
Camada Rede
• ENDEREÇAMENTO IP
– O endereço IP, com seus 32 bits, torna-se demasiado grande para a notação decimal
– Utilizada a notação decimal pontuada (separada
– Utilizada a notação decimal pontuada (separada por pontos)
– Os 32 bits são divididos em quatro grupos de 8 bits cada
– Exemplo:
Camada Rede
• ENDEREÇAMENTO IP
– O endereço IP é constituído basicamente de dois campos :
• netid: identifica a Rede a qual este host
• netid: identifica a Rede a qual este host pertence;
• hostid: identifica o host na Rede.
– Máquinas dentro do mesmo NetId devem ter HostIds diferentes
Camada Rede• Regulamentação para Atribuição de
Endereços– No mundo
• IANA (Internet Assigned Numbers Authority) delegouao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998
ao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998
– América Latina- Registro Regional de Endereçamento IP para América
Latina e Caribe (LACNIC)
www.lacnic.net
- No Brasil- registro.br (Comitê Gestor da Internet no Brasil - 1995)
www.registro.br
Camada Rede• Controle Endereços
Endereçamento [email protected]
Endereçamento IP
Classe do endereço
Primeiro endereço de rede
Último endereço de rede
Classe A 1.0.0.0 126.0.0.0
Endereçamento IP
Classe do endereço
Primeiro endereço de rede
Último endereço de rede
Classe B 128.0.0.0 191.255.0.0
Endereçamento IP
Classe do endereço Primeiro endereço de rede
Último endereço de rede
Classe C 192.0.0.0 223.255.255.0
Endereçamento IP
• Rede Interna
– Norma escrita pelo IANA (Internet Assigned NumbersAuthority) recomenda o uso dos seguintes endereços para rede interna:
para rede interna:
– Classe A: 10.0.0.0 até 10.255.255.255
– Classe B: 172.16.0.0 até 172.31.255.255
– Classe C: 192.168.0.0 até a 192.168.255.255
Endereçamento IP
• RESTRIÇÕES DE ENDEREÇOS
– O número zero significa a rede corrente
– O número 127.0.0.1 é um endereço de teste (loopback)
(loopback)
– O número 255 representa todos os hosts
– Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados
Endereçamento IP
• RESTRIÇÕES DE ENDEREÇOS
– O número zero significa a rede corrente
– O número 127.0.0.1 é um endereço de teste (loopback)
(loopback)
– O número 255 representa todos os hosts
– Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados
Endereçamento IP
• MÁSCARA DA SUB-REDE
– Indica como separar o NetId do HostId, especificada em nível de bits
• Máscara das Sub-Redes Padrões
– Classe A: 255.0.0.0
– Classe B: 255.255.0.0
– Classe C: 255.255.255.0
Segurança de Redes
• Segurança Camada Rede– Tipo de VLAN
• VLAN de nível 3– Distinguem-se vários tipos de VLAN de nível 3
• VLAN por sub-rede (em inglês Network Address-BasedVLAN)
VLAN) – Associa sub-redes de acordo com o endereço IP fonte dos
datagramas– Este tipo de solução confere uma grande flexibilidade, na medida
em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação
– Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente
Endereçamento IP
• CRIAÇÃO DE SUB-REDES
– Criar sub-redes eficientes, que reflitam as necessidades de sua rede, requer três procedimentos básicos:
procedimentos básicos:
• 1°. Determinar o número de bits de host a serem usados para sub-redes
• 2º. Listar as novas identificações de sub-redes
• 3º. Listar os endereços IPs para cada nova identificação de sub-rede
• 4º. Definição da Máscara da Sub-Rede
Segurança de Redes
• Segurança Camada Rede
– Tipo de VLAN
• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-Based VLAN)
inglês Protocol-Based VLAN) – Permite criar uma rede virtual por tipo de protocolo (por
exemplo TCP/IP, IPX/SPX, AppleTalk, etc.)
– Agrupa todas as máquinas que utilizam o mesmo protocolo numa mesma rede
Segurança de Redes
• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-
Based VLAN)
Segurança de Redes
• IP Spoofing– Consiste basicamente em alterar o endereço origem em
um cabeçalho IP
– Simples programação em Sockets pode nos ensinar como fazer isso
fazer isso
– Existem várias técnicas utilizadas:• Blind Spoof
• Non Blind Spoof
• DNS Spoof
• ARP Spoof
– Ataque usado por Kevin Mitnick(dez/1994) a rede particular de Tsutomo Shimomura (Especialista Segurança)
Segurança de Redes
• Blind Spoofing
– Consiste basicamente em se predizer os números de sequência(ISN) utilizado no Three-wayhandshaking (Camada Transporte) e utilizá-los na
handshaking (Camada Transporte) e utilizá-los na exploração de serviços r*(rlogind, rshd, rexecd)
Protocolo TCP/IP
• Camada Transporte
– TCP (Transmission Control Protocol)
• Estabelecimento da Conexão– Three-way handshaking
– Processo começa no servidor, informando ao TCP que está pronto para
– Processo começa no servidor, informando ao TCP que está pronto para aceitar uma conexão (abertura passiva)
– Programa cliente envia uma solicitação de abertura ativa
Protocolo TCP/IP• Estabelecimento da Conexão TCP
– Three-way handshaking
1. Cliente transmite SYN, usando um número de sequência gerado número de sequência gerado randomicamente.2. Servidor transmite um segmento SYN com seu número de sequência + ACK com o número de confirmação3. Cliente transmite um segmento ACK com o número de confirmação e o seu próximo número de sequência.Está estabelecida a conexão. Os dados já podem ser transmitidos.
Protocolo TCP/IP• Encerrando Conexão TCP
– Three-way handshaking
1. Cliente transmite FIN com um número de sequência.número de sequência.2. Servidor transmite um segmento FIN com seu número de sequência + ACK com o número de confirmação3. Cliente transmite um segmento ACKcom o número de confirmação.
Segurança de Redes
• Non Blind Spoofing– Semelhante ao Blind Spoofing, só que não é feito “às
cegas"(Blind)
– O atacante já obteve acesso a um sistema no meio das conexões alvos(hosts de confiança) e ele passa a
conexões alvos(hosts de confiança) e ele passa aanalisar o tráfego e com base na análise feita através de um sniffer, ele é capaz de "sequestrar"a conexão
– Esta técnica também recebe nomes variados como IP Hijacking, e também costumam se referir a ela com Man-in-the-middle
Segurança de Redes
• DNS Spoofing– Um servidor de DNS(Domain Name Server) é o
responsável por associar um determinado IP a um determinado nome de host
– Um atacante pode se utilizar disso de várias formas, desde usar técnicas de man-in-the-middle(invadindo um server
usar técnicas de man-in-the-middle(invadindo um server no meio do caminho) até mesmo utilizando problemas no protocolo DNS(UDP/53)
– Existe um campo no cabeçalho DNS responsável pela ID que pode ser atacado como se ataca um cache, enviando múltiplas requisições até entupir a pilha
– Este tipo de ataque também é conhecido como DNS Cache Spoof
Segurança de Redes
• IP Spoofing – Como Prevenir
– É necessário criar uma Access-List(ACL) no roteador que está conectado a Internet (Ingress Filtering)
– Nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outsidede um roteador conectado a Internet
de um roteador conectado a Internet
Fonte imagem: http://www.brainwork.com.br/blog/wp-content/uploads/2008/11/image1.png
Segurança de Redes
• Firewall– Uma barreira de proteção, que controla o tráfego de
dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet)
– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja
– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura
– Objetivo: permitir somente a transmissão e a recepção de dados autorizados
– Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software
Segurança de Redes
Segurança de Redes
• Firewall
– São localizados entre uma organização e o mundo externo (Internet)
– Também podem ser utilizados dentro de uma
– Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos)
• Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns
Segurança de Redes
• Firewall– Podem ser implementados através de um
roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos
capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis
– Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas
Segurança de Redes
• Firewall– Tecnologias de projeto de firewall: a tradicional
(ou estática) e a dinâmica• Firewalls estáticos: o principal propósito (política) é
permitir qualquer serviço a menos que ele seja
permitir qualquer serviço a menos que ele seja
expressamente negado ou negar qualquer serviço a
menos que ele seja expressamente permitido
• Firewall dinâmico: irá permitir ou negar qualquer
serviço para quando e por quanto tempo for desejado
– Firewall apresenta habilidade de se adaptar ao tráfego e projeto da rede
Segurança de Redes
• Firewall– Um firewall consiste, de maneira geral, dos seguintes
componentes:• filtro: também chamado de screen ou screening router,
bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças
protegendo a rede interna contra ameaças • gateway: máquina ou conjunto de máquinas que oferece
serviços através de proxy
– A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral ou Rede de Perímetro
– Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno
Segurança de Redes
• Firewall
– Uma máquina gateway exposta é frequentemente chamada de bastion host
– Existem três tipos principais de firewalls
– Existem três tipos principais de firewalls
• packet filtering
• application-level gateway
• circuit-level gateway
– Na prática, mais de um tipo é usado ao mesmo tempo
Segurança de Redes
• Packet Filtering
– Sistemas packet filtering roteiam pacotes entre hosts
internos e externos de maneira seletiva
– Eles permitem ou bloqueiam certos tipos de pacotes, refletindo a política de segurança adotada pelo site
refletindo a política de segurança adotada pelo site
– Pacotes permitidos são roteados para o destino, ao passo que pacotes não permitidos ou suspeitos são descartados ou manipulados (ferramentas de rastreamento)
– O tipo de roteador utilizado nestes sistemas é conhecido como screening router
Segurança de Redes
• Packet Filtering
– sistemas packet filtering devem apresentar as seguintes características:
• filtragem baseada nos endereços fonte e destino, nas
• filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem
• filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos
• habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console
Segurança de Redes
• Sistemas packet filtering são úteis na definição de regras do tipo: – bloqueio todas as conexões oriundas de sistemas
localizados fora da rede interna• Exceto para conexões SMTP (simple mail transport protocol) que
chegam (ou seja, permita apenas o recebimento de mails)
chegam (ou seja, permita apenas o recebimento de mails)• Permita serviços FTP (file transfer protocol) e telnet
• Bloqueio outros serviços tais como TFTP (trivial file transfer protocol) e RPC (remote procedure call)
– Pelo simples fato de que certos serviços Internet residem em certos números de porta, isto permite que screening routers bloqueiem ou permitam certos tipos de conexão simplesmente especificando-se o número da porta
• Por exemplo, porta 23 para conexões telnet
Segurança de Redes
• Configurar um packet filtering consiste em um processo de três passos:
– Determinar o que deve e o que não deve ser permitido (política de segurança)
permitido (política de segurança)
– Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras)
– Reescrever estas expressões de acordo com o produto utilizado
Segurança de Redes
• Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP 172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10) seja permitido – interno = 192.168.10.0
• As seguintes regras são derivadas:
between host 172.161.51.50 e net 192.168.10 accept;
between host any and host any reject;
Segurança de Redes
• Application-Level Gateway– É um host que executa aplicações especiais, chamadas
proxy, as quais são responsáveis pela propagação de serviços para dentro da rede protegida
– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é
– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é efetuado em nível de aplicação através de código especialmente escrito para cada serviço a ser disponibilizado, segundo requisitos próprios de segurança
– Somente serviços que possuam proxy conseguem passar pelo gateway
Segurança de Redes
• A principal funcionalidade de um application-
level gateway é a sua capacidade de controlar todo tráfego entre a rede interna e a rede externa
externa
• Permite um completo monitoramento do sistema, o qual pode gerar informações sobre o uso de serviços e seu posterior armazenamento em um arquivo de log
Segurança de Redes
• O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente
• o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level
gateway
Segurança de Redes
• Circuit-Level Gateway
– Circuit-level gateway possui funcionalidade semelhante a sistemas packet filtering, mas via aplicação
– Responsável pela transmissão de conexões TCP– Pode possuir controles adicionais, tais como tempo limite
de utilização de uma porta e intervalo de tempo mínimo
de utilização de uma porta e intervalo de tempo mínimo entre subsequentes usos de uma porta
– Todo o controle de conexões é efetuado com base no endereço fonte e portas fonte e destino
– Um cliente requisita um serviço através de uma porta fonte, sendo de responsabilidade do gateway a conexão com o destino e posterior propagação de bytes entre ambos
Segurança de Redes
• Arquiteturas de Firewall
– packet filtering
– dual-homed host
– screened host
– screened host
– screened subnet
• Obs: Não existe uma arquitetura dita universal, a qual resolve todos os problemas de segurança
Segurança de Redes
• Packet Filtering
– utiliza-se exclusivamente de um roteador inteligente para proteger uma rede interna
– não requer que aplicações cliente e servidor sejam
– não requer que aplicações cliente e servidor sejam modificadas, mas é a arquitetura menos desejável como firewall
Segurança de Redes
• Packet Filtering
– desvantagens:• uma falha de segurança do roteador compromete toda
a rede interna
• o número de regras geralmente é limitado
• o número de regras geralmente é limitado
• o desempenho pode ser comprometido em função do número de regras
• impossibilidade de modificar serviços através do tratamento de operações individuais
• complexidade de configuração e tratamento de exceções, dentre outras
Segurança de Redes
• Dual-Homed Host
– é implementada através de um host que possui duas interfaces de rede, uma para a rede interna e outra para a rede não confiável
– Este host é a única porta de entrada para a rede
– Este host é a única porta de entrada para a rede interna, sendo acessível tanto por hosts internos quanto externos
– a função de roteamento é desabilitada e assim pacotes não conseguem ser roteados entre as redes, garantindo o isolamento de tráfego
Segurança de Redes• Screened Host
– possui dois componentes• screening router
– atua com primeiro nível de defesa contra uma rede não confiável e é responsável por restringir conexões de hosts externos que não sejam direcionadas a um host específico, chamado bastion host (segundo componente)
componente)
– É responsável por restringir certos tipos de conexão independente do host destino, por restringir que hosts internos abram uma conexão direta com a rede externa e por permitir que o bastion host abra alguns tipos de conexão com a rede externa
• bastion host
– localizado na rede interna e portanto sem possuir interface com a rede externa
– é o único host da rede interna acessível por hosts externos
– todo o tráfego entre a rede interna e externa deve passar primeiro pelo bastion host, o qual utiliza funções em nível de aplicação para selecionar serviços (proxy)
Windows Hardening
• Screened Subnet
– adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável
confiável
– Tal camada (DMZ - Demilitarized Zone) abriga três componentes,
• dois roteadores
• um bastion host
Segurança de Redes
• Stateful Inspection Firewall– Combina aspectos da packet-filtering, firewall,
circuit-level gateway e do application-level gateway
– Como o packet-filtering firewall, um stateful
– Como o packet-filtering firewall, um statefulinspection firewall opera do nível de REDE até a camada de APLICAÇÃO do modelo OSI
– Filtra todas as entradas e saídas baseadas no endereço IP de origem e destino e no número de porta de origem e destino
Segurança de Redes
• Firewall do Windows
– Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF
– É uma barreira protetora que monitora e restringe
– É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet
– Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão
Segurança de Redes
• Como funciona o Firewall do Windows– Quando alguém na Internet ou em uma rede tenta se
conectar ao seu computador, essa tentativa é chamada “pedido não solicitado”
– Quando o computador recebe um pedido não
– Quando o computador recebe um pedido não solicitado, o Firewall do Windows bloqueia a conexão
– Se você executar um programa como o de mensagens instantâneas ou um jogo em rede com vários participantes que precise receber informações da Internet ou da rede, o firewall perguntará se você deseja bloquear ou desbloquear (permitir) a conexão
Segurança de Redes
• Como funciona o Firewall do Windows
– Você deverá ver uma janela semelhante a esta:
Segurança de Redes
• Firewall– Existe uma quantidade grande de soluções firewall
disponível
– Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm,
Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos
– Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança
– O site para fazer o download do software é o www.zonealarm.com
Referências• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.
4. ed. São Paulo: McGraw-Hill, 2008.
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação.
Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.