Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
[email protected]
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
• COMUNICAÇÃO EM CAMADAS
– Para reduzir a complexidade do projeto a maior
parte das redes são organizadas em uma série de
camadas ou níveis
– O número, nome, conteúdo e função de cada
camada difere de uma rede para outra
– Em cada par de camadas adjacentes há uma
interface que define as operações e serviços que a
camada inferior tem a oferecer a superior
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
S IS TE MA A
Camada 4
S IS TE MA B
P rotocolo da Camada 4
Camada 4
Interface
3/4
Interface
3/4
Camada 3
P rotocolo da Camada 3
Camada 3
Interface
2/3
Interface
2/3
Camada 2
P rotocolo da Camada 2
Camada 2
Interface
1/2
Interface
1/2
Camada 1
P rotocolo da Camada 1
Meio de Comunicação
Camada 1
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
• ARQUITETURA DE REDES
– Um conjunto de camadas de protocolos
– É formada por níveis, interfaces e protocolos
– Deve conter informações suficientes para permitir
que um implementador desenvolva o programa
ou construa o hardware de cada camada, de
forma que ela obedeça corretamente ao protocolo
adequado
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
• MODELO DE REFERÊNCIA OSI (Open Systems
Interconnection)
– Baseia-se no conceito de camadas
– Padronizado pela ISO (International Organization for
Standardization)
– Cada camada executa um conjunto bem definido de
funções
– Devem possibilitar troca de informações entre processos
de aplicação (AP – Application Process)
– Divide as redes de computadores em sete camadas
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
, SCTP
DoD - Department of Defense
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
• TRANSMISSÃO DE DADOS NO MODELO OSI
PROCESSO
EMISSOR
Aplicação
AH
Apresentação
PH
Sessão
Física
NH
LH
Apresentação
Sessão
DADOS
TH
Rede
Aplicação
DADOS
DADOS
SH
Transporte
Enlace
PROCESSO
RECEPTOR
DADOS
Transporte
DADOS
Rede
DADOS
DADOS
BITS
C
R
C
Enlace
Física
www.ricardojcsouza.com.br
[email protected]
Arquitetura Redes
PCI Camada de aplicação
PCI Protocol Control Information
SDU Service Date Unit
PDU Protocol Date Unit
www.ricardojcsouza.com.br
[email protected]
Arquitetura TCP/IP
• TCP/IP
– TCP  Transmission Control Protocol
– IP  Internet Protocol
• Meados década de 1960
• Departamento de Defesa dos EUA(DoD)
• Projeto ARPA(Advanced Research Project
Agency)
• Projeto piloto: 1972
www.ricardojcsouza.com.br
[email protected]
Arquitetura TCP/IP
• Principais Características
– Padrões de protocolos abertos
– Independente da especificação do
hardware da rede física
– Esquema de endereçamento universal
– Permite consistentes e amplos serviços aos
usuários
– Independente de arquitetura e sistema
operacional de rede
www.ricardojcsouza.com.br
[email protected]
Arquitetura TCP/IP
• Definições da Arquitetura TCP/IP são
encontradas em documentos denominados
RFC (Request for Comments)
• Documentos elaborados e distribuídos pelo
Internet Architecture Board
• Subsidiária do IAB
– IRTF(Internet Research Task Force)
– IETF (Internet Engineering Task Force)
Arquitetura TCP/IP
www.ricardojcsouza.com.br
[email protected]
Mensagem Idêntica
Host B
Host A
Pacote Idêntico
Aplicação
Gateway
Transporte
Aplicação
Transporte
Inter-rede
Inter-rede
Inter-rede
Datagrama
Idêntico
Interface
de Rede
Interface
de Rede
Datagrama
Idêntico
Interface
de Rede
Interface
de Rede
Quadro
Idêntico
Rede Física 1
Intra-Rede
Camadas Conceituais da Arquitetura Internet TCP/IP
Quadro
Idêntico
Rede Física 2
Intra-Rede
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Camada Física/Enlace
– TCP/IP não define nenhum protocolo específico
– Suporta todos os protocolos-padrão e
proprietários
– Exemplo Redes:
• LAN
• WAN
• Etc.
www.ricardojcsouza.com.br
[email protected]
Arquitetura TCP/IP
• REDE FÍSICA (INTRA-REDE)
– Padrões:
• EIA/TIA 568 (Electronic Indrustry
Association/Telecommunications Industry Association)
• Coaxial
• Fibra Ótica
• Transmissão Sem Fio
• ISDN (Integraded Services Digital Network)
• ATM (Asynchronous Transfer Mode )
EIA encerrou operações em fev/2011 e atribuíu suas atividades ao
ECIA - Electronic Components Industry Association.
www.ricardojcsouza.com.br
[email protected]
Arquitetura TCP/IP
• REDE FÍSICA (INTRA-REDE)
– Padrões:
• EIA/TIA 568 (Electronic Indrustry
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
,SCTP
www.ricardojcsouza.com.br
[email protected]
Camada Enlace
• CAMADA DE INTERFACE DE REDE (ENLACE)
– Fornece interface de serviço a camada de rede
– Determina como os bits da camada física serão
agrupados em quadros(frames)
– Trata os erros de transmissão
– Controle de fluxo de quadros
www.ricardojcsouza.com.br
[email protected]
Camada Enlace
• PROTOCOLOS NÍVEL DE ENLACE
– Ethernet
– ATM (Asynchronous Transfer Mode)
– FDDI (Fiber Distributed Data Interface)
– HDLC (High-level Data Link Control)
• Protocolo síncrono, orientado a bit, de caráter geral
para canais full-duplex (ponto-a-ponto ou multiponto)
• HDLC é o tipo de encapsulamento padrão para cada
porta serial em roteadores
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Camada Física/Enlace
– Principal protocolo utilizado: Ethernet
www.ricardojcsouza.com.br
[email protected]
Camada Enlace
• ETHERNET
– Os elementos básicos do Ethernet
• QUADRO(Frame)
– Conjunto padronizado bits usados para transporte
dados
• Protocolo MEDIA ACCESS CONTROL(MAC)
– Regras de acesso
• COMPONENTES DE SINALIZAÇÃO
– Dispositivos eletrônicos para enviar e receber dados
• MEIO FÍSICO
– Cabos ou outros meios
www.ricardojcsouza.com.br
[email protected]
Camada Enlace
• O Quadro Ethernet
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Camada Física/Enlace
– Principal protocolo utilizado: Ethernet
– Frame(Quadro) Ethernet
Fonte: http://dc195.4shared.com/doc/QPPNqFOW/preview.html
www.ricardojcsouza.com.br
[email protected]
Camada Enlace
• PROTOCOLO MAC (Media Access Control)
• Regras de controle de acesso à mídia – CSMA/CD
– Sinal está sendo transmitido
• PORTADORA
– Quando deseja transmitir
• AUSÊNCIA DE PORTADORA
– Canal ocioso – espera breve tempo – IFG (InterFrame Gap – 96
bits)
• TRANSMITE QUADRO
– Duas estações transmitem simultaneamente
• DETECÇÃO DE COLISÃO
• REPROGRAMAR TRANSMISSÃO
www.ricardojcsouza.com.br
[email protected]
Protocolo ARP
• Address Resolution Protocol
• Utilizado para mapear endereço IP(Nível
superior) para endereço físico (MAC)
• Permite que o host origem encontre o
endereço MAC do host destino
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Address Resolution Protocol (ARP)
– Utilizado para mapear endereço IP(Nível superior)
para endereço físico (MAC)
– Permite que o host origem encontre o endereço MAC
do host destino
– Funções:
• Determinar endereço físico
• Responder pedidos outros hosts
– Funcionamento
• Antes de enviar:
– Verifica cache
– Se encontrar endereço, envia frame
– Se não encontrar, envia broadcast pedido ARP
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Address Resolution Protocol (ARP)
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
Rede Local
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
Rede Remota
www.ricardojcsouza.com.br
[email protected]
Protocolo ARP
Fonte Imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura01.jpg
www.ricardojcsouza.com.br
[email protected]
Protocolo ARP
• Comandos do ARP
– arp /?  help
– arp –a  exibe as entradas atuais
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
– É um protocolo de rede que protege a topologia
da rede com loops gerados por algum dispositivo
na rede local Ethernet
– STP é um protocolo da camada de enlace (Data
Link Layer)
– Padronizado pelo IEEE como 802.1D
– Cada LAN é acessada pelas outras LANs através de
um único caminho, sem loops
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
– A topologia lógica sem loops criada é chamada de árvore
– É uma topologia lógica em estrela ou em estrela estendida
– Spanning-tree (árvore de espalhamento) porque todos os
dispositivos da rede podem ser alcançados ou estão
abrangidos por ela
– O algoritmo usado para criar essa topologia lógica sem
loops é o algoritmo spanning-tree
– Esse algoritmo pode levar um tempo relativamente longo
para convergir
– Para reduzir o tempo que uma rede leva para computar
uma topologia lógica sem loops, foi desenvolvido um novo
algoritmo, chamado rapid spanning-tree
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
Se o switch A parar, o segmento 2 continua ativo em razão da redundância
garantida pelo switch B
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
STP adiciona portas em estado de bloqueio
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
– A cada Bridge é associado um ID e a que possuir o menor ID na
topologia física é eleita a Bridge Raiz (root bridge) da Árvore STP
– Cada Bridge, exceto a Bridge Raiz, terá uma única Porta Raiz
(root port) que será a que possuir o menor custo (largura de
banda, saltos e/ou delay de propagação de frames) no caminho
desta à Bridge Raiz. Pode ser determinada pelo STP ou pelo
Administrador da Rede
– Para cada LAN, é determinada uma Bridge Designada que é
aquela que possui o menor custo entre a LAN e a Bridge Raiz. A
porta que conecta a LAN à Bridge Designada é denominada
Porta Designada
– Se duas Bridges tiverem o mesmo custo para atingir a Bridge
Raiz, a que tiver o menor ID será considerada a Bridge
Designada
www.ricardojcsouza.com.br
[email protected]
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
1. STP estabelece um nó
raiz chamado de bridge
raiz
2. Constrói uma topologia
que tem um caminho para
alcançar todos os nós
da rede, a partir de uma
árvore com origem na
bridge raiz
3. Os links redundantes
que não fazem parte da
árvore do caminho mais
curto são bloqueados
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Enlace
–Alguns Ataques
• Sniffer
• ARP Ataques
Segurança de Redes
www.ricardojcsouza.com.br
[email protected]
• SNIFFING
– É o procedimento realizado por uma ferramenta
conhecida como Sniffer
– Também conhecido como Packet Sniffer,
Analisador de Rede, Analisador de Protocolo,
Ethernet Sniffer em redes do padrão Ethernet ou
ainda Wireless Sniffer em redes wireless
– Constituída de um software ou hardware capaz de
interceptar e registrar o tráfego de dados em uma
rede de computadores
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Sniffer
Fonte imagem: http://cdn.aiotestking.com/wp-content/ec-council/files/2012/01/312-50-E73-590x181.jpg
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Sniffer
– Usado para furto de informações:
• nomes de usuários, senhas, conteúdo de emails, - conversas chat, dados internos em uma
empresa
– Ataques internos (funcionários hostis)
– Ataques remotos, via Internet, com acesso
privilegiado a um gateway (roteador de
perímetro), que fica entre a rede interna e a
externa
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Sniffer
–Ferramentas:
• IPTraf
• Wireshark
• EtherDetect
• Kismet
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• ARP Poisoning/ARP Spoofing/MITM(Man In The
Middle)
– Quando uma falsa resposta é dada em consultas ARP
– Um endereço MAC é associado a um IP que na
realidade não é o seu correspondente e então é
adicionado na tabela ARP
– Consiste em modificar a tabela ARP de um
computador se passando por outro
– Essa técnica permite desviar mensagens que seriam
destinadas a outro computador para o seu
– Conhecido também como ARP Spoofing e Man In The
Middle
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• ARP Poisoning/MITM(Man In The Middle)
Fonte imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura02.jpg
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• ARP Poisoning/ARP Spoofing/MITM(Man In The
Middle)
• Ferramentas:
– Arpwatch/ Winarpwatch
• É um programa de monitoração da tabela ARP em uma rede
• A partir de uma cópia da tabela que ele mantém
armazenada, este software de vigilância consegue detectar
qualquer alteração no ARP cache
• Ao detectar alguma mudança na tabela, o Arpwatch gera
relatórios e pode enviar mensagens de aviso por e-mail
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Física
– VLAN (Virtual Local Area Network ou Virtual
LAN)
• Estruturas capazes de segmentar, logicamente, uma
rede local em diferentes domínios de broadcast
• Possibilita a partição de uma rede local em diferentes
segmentos lógicos (criação de novos domínios
broadcast), permitindo que usuários fisicamente
distantes (por exemplo, um em cada andar de um
edifício) estejam conectados a mesma rede
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Benefícios VLAN
– Controle Tráfego broadcast
– Segmentação lógica
– Redução de custos e facilidade de gerenciamento
– Independência da topologia física
– Maior segurança
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Física
– Tipo de VLAN – Modelo 1
• VLAN de nível 1 (também chamada VLAN por
porta, em inglês Port-Based VLAN)
– Define uma rede virtual em função das portas de
conexão no comutador
– Configuração é rápida e simples
– Desvantagem:
» Movimentação dos usuários  reconfiguração
VLAN
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• VLAN
– Membros de uma VLAN podem ser definidos de
acordo com as portas da ponte/comutador
utilizado
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte Imagem: http://sunsite.uakom.sk/sunworldonline/swol-07-1996/vlan1.gif
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte Imagem:http://www.corecom.com/external/livesecurity/vlan-fig2.gif
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 2
• VLAN de nível 2 (igualmente chamada VLAN MAC, em
inglês MAC Address-Based VLAN)
– Consiste em definir uma rede virtual em função dos
endereços MAC das estações
– Este tipo de VLAN é muito mais flexível que a VLAN por porta,
porque a rede é independente da localização da estação
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Tipo de VLAN - Modelo 2
– VLAN de nível 2 (igualmente chamada VLAN MAC,
em inglês MAC Address-Based VLAN)
– Os membros da rede virtual são identificados pelo
endereço MAC (Media Access Control) da estação
de trabalho
– O comutador reconhece o endereço MAC
pertencente a cada VLAN
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Tipo de VLAN - Modelo 2
– VLAN de nível 2 (igualmente chamada VLAN MAC, em
inglês MAC Address-Based VLAN)
– Quando uma estação de trabalho é movida, não é
necessário reconfigurá-la para que esta continue
pertencendo a mesma VLAN, já que o endereço MAC faz
parte da sua placa de interface de rede
– Problema: membro de uma VLAN deve ser inicialmente
especificado, obrigatoriamente.
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 3
• VLAN de nível 2
– Membros de uma VLAN camada 2 também podem ser
identificados de acordo com o campo "tipo de protocolo"
encontrado no cabeçalho da camada 2
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 3
• VLAN de nível 2
– Membros de uma VLAN camada 2 também podem ser
identificados de acordo com o campo "tipo de protocolo"
encontrado no cabeçalho da camada 2
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 4
• VLAN de nível 2
– Membros de uma VLAN camada 2 também podem ser
identificados de acordo com o campo “tagged" inserido no
protocolo do cabeçalho da camada 2
– Especificação 802.1Q
– É conseguido introduzindo um TAG com um identificador de
VLAN (VID) entre 1 e 4.094 em cada frame
– As portas do Switch com protocolo 802.1Q podem ser
configuradas para transmitir frames com tagged ou untagged
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/05/dot1qethernetframe.png
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte imagem: http://pplware.sapo.pt/wp-content/uploads/2010/12/vlans_01_thumb.jpg
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte Imagem: http://support.dell.com/support/edocs/network/BroadCom/R230837/bp/wntopt06.gif
www.ricardojcsouza.com.br
[email protected]
Segurança de Redes
Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/04/vlan-trunk.png
www.ricardojcsouza.com.br
[email protected]
Referências
• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.
4. ed. São Paulo: McGraw-Hill, 2008.
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão
1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO:
Implantação de Medidas e Ferramentas de Segurança da Informação.
Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII:
Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II:
Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão
2.0, 2003.
Download

Redes Avançadas - Parte 3