Exercícios de Revisão
Redes de Computadores
Edgard Jamhour
SSL, VPN PPTP e IPsec
Auxilio para as questões 1 e 2
Criptografia Assimétrica: (ou de chave Pública)
- Usa chaves diferentes para criptografar (pública) e descriptografar (privada) uma
mensagem.
- É unidirecional: a segurança só existe quando se criptografa com a chave pública e
descriptografa com a chave privada.
- É lento, pois utiliza operações complexas com números primos.
- Para uma chave de tamanho N, o espaço de chaves (EC <<2N ), por isso usa chaves muito
grandes (> 512 bits)
- Exemplo: RSA
Criptografia Simétrica: (ou de chave Secreta)
- Usa chaves iguais para criptografar e descriptografar uma mensagem.
- É bidirecional: a segurança só existe se a chave for conhecida pelo par de usuários
envolvidos na comunicação.
- É rápido, pois utiliza operações simples e é projetado para criptografar grandes volumes de
dados (e.g., páginas Web).
- Para uma chave de tamanho N, o espaço de chaves (EC = 2N ), por isso pode usar chaves
menores, entre 128 e 256 bits.
- Exemplo: DES, 3DES, AES, RC4
Auxilio para as questões 1 e 2
Algoritmo de Hashing:
- Gera um código de tamanho fixo (pequeno) que independe do tamanho da mensagem
denominado DIGEST.
- Não podem haver duas mensagens diferentes que gerem o mesmo DIGEST.
- É utilizado para verificar a integridade da mensagem, isto é, se a mensagem recebida é
idêntica aquela transmitida.
- Exemplo: SHA1, MD5
Algoritmo de Assinatura Digital:
- Similar ao Hashing, gera um código de tamanho fixo (pequeno) que independe do tamanho
da mensagem denominado assinatura digital.
- A assinatura digital depende do conteúdo da mensagem, mas também do valor de uma
chave de criptografia utilizado.
- É utilizado para verificar a integridade da mensagem e a identidade do transmissor.
- As assinaturas de chave pública combinam algoritmos de hashing e criptografia (isto é, a
assinatura digital é um DIGEST criptografado com uma chave PRIVADA).
-Exemplo: RSA/MD5, RSA/SHA1.
Exercício 1: Relacione
FUNÇÃO
ALGORITMO
(
) Utiliza chaves diferentes para criptografa e
descriptografar as informações
(
) Também chamado de algoritmo de chave secreta
(
) Permite verificar apenas integridade de uma mensagem,
isto é, se a mensagem recebida é idêntica a que foi gerada
pelo transmissor.
(
) Para uma dada mensagem, gera um código único, de
tamanho fixo, que independe do tamanho da mensagem.
(
) Permite verificar a integridade e a identidade do
transmissor de uma mensagem.
(
) É unidirecional, isto é, as chaves para criptografar
informações de A para B e de B para A são diferentes.
(
) O espaço de chaves é aproximadamente 2^N, onde N é
o tamanho da chave.
1. Criptografia Assimétrica
2. Criptografia Simétrica
3. Hashing
4. Assinatura Digital
5. Alternativas 4 e 5
6. Nenhuma das
anteriores
Exercício 2: Indique as afirmações verdadeiras
(
) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos
que os simétricos, pois utilizam operações complexas com números primos.
(
) É possível determinar o valor da chave privada a partir da chave pública.
(
) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de
oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta.
(
) Uma boa prática de segurança consiste em utilizar chaves de sessão, isto é, trocar
de chave periodicamente, a fim de evitar que muitos dados sejam protegidos com a
mesma chave.
(
) É possível recuperar o conteúdo de uma mensagem realizando uma operação sobre
o digest gerado por algoritmos de hashing do tipo MD5 ou SHA.
.
Auxilio para a questão 3
Geração do Certificado Digital (off-line)
1. Gera-se um par de chaves assimétrico: chave privada do servidor e chave
pública do servidor.
2. O CSR (Certificate Server Request) é gerado combinando a chave pública do
servidor com sua identidade.
3. O certificado digital é gerado assinando-se o CSR com a chave privada da CA
(autoridade certificadora)
Estabelecimento da Sessão SSL (on-line)
1. O servidor envia o certificado digital para o cliente.
2. O cliente valida a assinatura do certificado digital usando a chave pública da CA.
3. O cliente gera uma chave secreta aleatória (também conhecida com chave de
sessão) e a criptografa com a chave pública do servidor extraída do certificado
digital.
4. O cliente envia a chave secreta criptografada para o servidor.
5. No servidor, a chave secreta recebida do cliente é descriptografada usando a chave
privada do servidor.
Comunicação entre cliente e servidor (on-line)
6. Cliente e servidor trocam dados de forma direcional utilizado a chave secreta
aleatória.
Exercício 3: Relacione as ações do SSL/TLS
FUNÇÃO
ALGORITMO
( ) Assinar um CSR e transformá-lo em um
certificado digital.
( ) Criptografar a chave de sessão gerada
pelo navegador Web (cliente).
( ) Criptografar os dados transmitidos do
cliente para o servidor Web.
( ) Criptografar os dados transmitidos do
servidor para o cliente Web.
( ) Descriptografar a chave de sessão
enviada do cliente para o Servidor Web.
( ) Verificar a validade de um certificado
digital emitido por uma autoridade
certificadora.
1. Chave privada do servidor Web
2. Chave privada da autoridade
certificadora
3. Chave pública do servidor Web
4. Chave pública da autoridade
certificadora
5. Chave secreta gerada pelo cliente
6. Chave pública do cliente
7. Chave privada do cliente
8. Nenhuma das anteriores
Auxílio a questão 4
HTTP
POP
TELNET
HTTPs
POPs
TELNETs
80
110
23
443
995
992
Sockets
Protegido
pelo
SSL/TLS
SSL
IP
TCP/UPD
Camada de enlace
Camada física
Não Protegido
pelo SSL/TLS
Exercício 4
•
Indique na figura abaixo o formato de um pacote transmitido em SSL de um
cliente para um servidor Web numa rede externa, relacionando os campos
com a coluna ao lado. Além do número, coloque também um x nos campos
criptografados.
MAC destino
início do quadro
MAC origem
IP origem
IP destino
Porta origem
Porta destino
Aplicacao
Dados
Fecho MAC
FCS
fim do quadro
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
MAC do cliente
MAC do roteador
MAC do servidor
FCS
IP do cliente
IP do servidor
IP do roteador
Porta TCP origem > 1023
Porta TCP destindo 80
Porta TCP destino 443
HTTP
Dados
Auxílio ao Exercício 5: Comunicação PPTP
Pool de Endereços
Privados
IPVPN1
IPVPN2
...
IPVPN10
SERVIDOR
PPTP
CLIENTE
CLIENTE
IPN1
IPN2
IPVPN2
Tunel
IPN2 IPN1 GRE
IPs do Tunel
IPVPN1
IPVPN2 IPVPN3
IPN3
Tunel
IPN1
IPN3
IPs do Tunel
IPVPN3
GRE IPVPN2 IPVPN3
Exercício 5
•
Indique a seqüência completa de quadros/pacotes criados para enviar um
pacote de A para C numa comunicação PPTP já estabelecida com o servidor B
(indique os endereços MAC e IP apenas).
1
1
c
3
2
d
Tabela de alocação de endereços:
192.168.0.1 até 192.168.0.100
2
f
200.0.2.1
200.0.1.2
(servidor PPTP B)
e
200.0.1.3
200.0.1.1
200.0.0.2
(cliente PPTP A)
200.0.0.1
a
b
4
g
200.0.2.2
(cliente PPTP C)
Exercício 6
Pacote
MAC
Destino
MAC
Origem
IP Tunel
Origem
IP Tunel
Destino
GRE/
PPP
IP Origem
IP Destino
DADOS
1
GRE/
PPP
DADOS
2
GRE/
PPP
DADOS
3
GRE/
PPP
DADOS
4
GRE/
PPP
DADOS
Roteador
Altera apenas MAC
a
1
b
c
1
Roteador
Altera apenas MAC
2
3
e
2
f
4
g
d
tunel
200.0.0.2
(192.168.0.2)
tunel
200.0.1.2
(192.168.0.1)
Servidor PPTP Altera IP do Tunel
200.0.2.2
(192.168.0.3)
Os endereços
IP de origem
e destino
nunca são
alterados
Exercício 6: Marque as Afirmações Verdadeiras
( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite
fazer autenticação e criptografia dos pacotes e o AH apenas autenticação.
( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte
apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo
cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do
ESP ou AH.
( ) O SSL permite criptografar apenas o protocolo de aplicação dos pacotes. As
camadas inferiores não podem ser protegidas.
(
) VPN é a denominação de técnicas que fazem tunelamento de pacotes, isto é,
encapsulam o pacote original no campo de dados de um novo pacote a fim de oferecer
maior proteção aos dados transportados.
( ) As VPNs, como o PPTP e o IPsec em modo túnel, permite criptografar todos os
campos de um pacote (camada de rede, transporte e aplicação).
Auxilio a Questão 7: AH e Modo Túnel e Modo Transporte
IPv4
IP TCP/UDP DADOS
IP Normal
IPv4 com autenticação
IP AH TCP/UDP DADOS
Modo Transporte
IPv4 com autenticação e tunelamento
IP AH IP TCP/UDP DADOS
Especifica os Computadores
Especifica os Gateways nas Pontas do Tunnel
Modo Tunel
Exercício 8
•
Considere o cenário abaixo, onde os computadores A e C estabelecem uma
comunicação segura IPsec do tipo AH em modo transporte.
1
2
b
e
2
f
192.168.1.1
200.0.1.3
192.168.0.2
c
200.0.1.1
A
192.168.0.1
a
1
3
g
C
192.168.1.2
Exercício 8: Relacione as Colunas
( ) Formato do pacote enviado de A
para C entre o computador A e o
Roteador 1 (flecha 2).
( ) Formato do pacote enviado de A
para C entre o Roteador 1 e o
Roteador 2 (flecha 3).
( ) Formato do pacote enviado de A
para C entre o Roteador 2 e o
Computador C (flecha 3).
a ---- b
192.168.0.2
1. Mac b: Mac a :192.168.0.2: 192.168.1.2: AH: TCP/UDP:
Dados
2. Mac b: Mac a : AH: 192.168.0.2: 192.168.1.2: TCP/UDP:
Dados
3. Mac b: Mac a :192.168.0.2: 192.168.0.1: AH: TCP/UDP:
Dados
4. Mac e: Mac c :192.168.0.2: 192.168.1.2: AH: TCP/UDP:
Dados
5. Mac g: Mac f :192.168.0.2: 192.168.0.1: AH: TCP/UDP:
Dados
6. Mac e: Mac c :200.0.1.1:200.0.1.3: AH: TCP/UDP:
Dados
1
c ---- e
1
f----g
192.168.1.2
Auxílio a Questão 8: ESP IPSec : Tunel e Transporte
MODO TRANSPORTE
autenticado
criptografado
IP
IP
ESP
HEADER
TCP
UDP
DADOS
IP
TCP
UDP
DADOS
ESP
HEADER
IP
TCP
UDP
DADOS
ESP
TRAILER
ESP
AUTH
ESP
TRAILER
ESP
AUTH
criptografado
autenticado
MODO TUNNEL
Exercício 8
•
Considere o cenário abaixo, onde existe uma conexão do tipo IPsec em modo
túnel entre os roteadores 1 e 2.
1
2
b
e
Tunel IPsec ESP
2
f
192.168.1.1
200.0.1.3
192.168.0.2
c
200.0.1.1
A
192.168.0.1
a
1
3
g
C
192.168.1.2
Exercício 8: Relacione as Colunas
( ) Formato do pacote enviado
de A para C entre o computador A
e o Roteador 1 (flecha 2).
( ) Formato do pacote enviado
de A para C entre o Roteador 1 e
o Roteador 2 (flecha 3).
( ) Formato do pacote enviado
de A para C entre o Roteador 2 e
o Computador C (flecha 3).
a------ b
b: a :192.168.0.2: 192.168.1.2: tcp/udp: dados
e: c : 192.168.0.2: 192.168.1.2: tcp/udp: dados
g: f : 192.168.0.2: 192.168.1.2: tcp/udp: dados
e: c : 192.168.0.2: 192.168.1.2: esph: tcp/udp:
dados: espt: espa
5. e: c : 200.0.0.1: 200.0.1.3: esph: 192.168.0.2:
192.168.1.2: tcp/udp: dados: espt: espa
6. e: c : 192.168.0.2: 192.168.1.2: esph: 200.0.1.1:
200.0.1.3: tcp/udp: dados: espt: espa
c ---------------------------- e
200.0.1.3
200.0.1.1
192.168.0.2
1
1.
2.
3.
4.
2
f---------g
192.168.1.2
Download

Algoritmo de Assinatura Digital