Post on 11-Nov-2018
Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br
Arquitetura Redes
• COMUNICAÇÃO EM CAMADAS– Para reduzir a complexidade do projeto a maior
parte das redes são organizadas em uma série de camadas ou níveis
– O número, nome, conteúdo e função de cada
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– O número, nome, conteúdo e função de cada camada difere de uma rede para outra
– Em cada par de camadas adjacentes há uma interface que define as operações e serviços que a camada inferior tem a oferecer a superior
Arquitetura Redes
Camada 4Camada 4Camada 4Camada 4
Camada 3Camada 3Camada 3Camada 3
Camada 4Camada 4Camada 4Camada 4
Camada 3Camada 3Camada 3Camada 3
Protocolo da Camada 4Protocolo da Camada 4Protocolo da Camada 4Protocolo da Camada 4
Protocolo da Camada 3Protocolo da Camada 3Protocolo da Camada 3Protocolo da Camada 3
S ISTEMA BS ISTEMA BS ISTEMA BS ISTEMA BS ISTEMA AS ISTEMA AS ISTEMA AS ISTEMA A
InterfaceInterfaceInterfaceInterface
3/43/43/43/4
InterfaceInterfaceInterfaceInterface
3/43/43/43/4
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Camada 3Camada 3Camada 3Camada 3
Camada 2Camada 2Camada 2Camada 2
Camada 1Camada 1Camada 1Camada 1
Meio de ComunicaçãoMeio de ComunicaçãoMeio de ComunicaçãoMeio de Comunicação
Camada 3Camada 3Camada 3Camada 3
Camada 2Camada 2Camada 2Camada 2
Camada 1Camada 1Camada 1Camada 1
Protocolo da Camada 2Protocolo da Camada 2Protocolo da Camada 2Protocolo da Camada 2
Protocolo da Camada 1Protocolo da Camada 1Protocolo da Camada 1Protocolo da Camada 1
InterfaceInterfaceInterfaceInterface
2/32/32/32/3
InterfaceInterfaceInterfaceInterface
2/32/32/32/3
InterfaceInterfaceInterfaceInterface
1/21/21/21/2
InterfaceInterfaceInterfaceInterface
1/21/21/21/2
Arquitetura Redes
• ARQUITETURA DE REDES
– Um conjunto de camadas de protocolos
– É formada por níveis, interfaces e protocolos
– Deve conter informações suficientes para permitir
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Deve conter informações suficientes para permitir que um implementador desenvolva o programa ou construa o hardware de cada camada, de forma que ela obedeça corretamente ao protocolo adequado
Arquitetura Redes
• MODELO DE REFERÊNCIA OSI (Open Systems Interconnection)– Baseia-se no conceito de camadas– Padronizado pela ISO (International Organization for
Standardization)– Cada camada executa um conjunto bem definido de
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Cada camada executa um conjunto bem definido de funções
– Devem possibilitar troca de informações entre processos de aplicação (AP – Application Process)
– Divide as redes de computadores em sete camadas
Arquitetura Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Protocolo TCP/IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
, SCTP
DoD - Department of Defense
Arquitetura Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Arquitetura Redes
• TRANSMISSÃO DE DADOS NO MODELO OSI
PROCESSO
RECEPTOR
PROCESSO
EMISSOR DADOS
DADOSAHAplicação Aplicação
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
DADOSPH
DADOSSH
DADOSTH
DADOSNH
DADOSLH
BITS
Apresentação
Sessão
Transporte
Rede
Enlace
Fís ica
Apresentação
Sessão
Transporte
Rede
Enlace
Física
C
R
C
Arquitetura Redes
PCI Camada de aplicação
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
PCI Protocol Control Information
SDU Service Date Unit
PDU Protocol Date Unit
Arquitetura TCP/IP
• TCP/IP – TCP � Transmission Control Protocol
– IP � Internet Protocol
• Meados década de 1960
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Meados década de 1960
• Departamento de Defesa dos EUA(DoD)
• Projeto ARPA(Advanced Research Project Agency)
• Projeto piloto: 1972
Arquitetura TCP/IP
• Principais Características– Padrões de protocolos abertos– Independente da especificação do
hardware da rede física
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
hardware da rede física– Esquema de endereçamento universal– Permite consistentes e amplos serviços aos
usuários– Independente de arquitetura e sistema
operacional de rede
Arquitetura TCP/IP
• Definições da Arquitetura TCP/IP são encontradas em documentos denominados RFC (Request for Comments)
• Documentos elaborados e distribuídos pelo
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Documentos elaborados e distribuídos pelo Internet Architecture Board
• Subsidiária do IAB – IRTF(Internet Research Task Force)
– IETF (Internet Engineering Task Force)
Arquitetura TCP/IPwww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Host A
Transporte
Inter-rede
Aplicação
Host B
Transporte
Inter-rede
Aplicação
Inter-rede
Gateway
Pacote Idêntico
Mensagem Idêntica
Inter-rede
Interfacede Rede
Rede Física 1Intra-Rede
Inter-rede
Interfacede Rede
Rede Física 2Intra-Rede
Interface de Rede
Interface de Rede
QuadroIdêntico
DatagramaIdêntico
QuadroIdêntico
DatagramaIdêntico
Camadas Conceituais da Arquitetura Internet TCP/IP
Protocolo TCP/IP
• Camada Física/Enlace
– TCP/IP não define nenhum protocolo específico
– Suporta todos os protocolos-padrão e proprietários
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
proprietários
– Exemplo Redes:
• LAN
• WAN
• Etc.
Arquitetura TCP/IP
• REDE FÍSICA (INTRA-REDE)
– Padrões:
• EIA/TIA 568 (Electronic IndrustryAssociation/Telecommunications Industry Association)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Association/Telecommunications Industry Association)
• Coaxial
• Fibra Ótica
• Transmissão Sem Fio
• ISDN (Integraded Services Digital Network)
• ATM (Asynchronous Transfer Mode )
EIA encerrou operações em fev/2011 e atribuíu suas atividades ao ECIA - Electronic Components Industry Association.
Arquitetura TCP/IP
• REDE FÍSICA (INTRA-REDE)
– Padrões:
• EIA/TIA 568 (Electronic Indrustry
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Protocolo TCP/IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
,SCTP
Camada Enlace
• CAMADA DE INTERFACE DE REDE (ENLACE)
– Fornece interface de serviço a camada de rede
– Determina como os bits da camada física serão agrupados em quadros(frames)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
agrupados em quadros(frames)
– Trata os erros de transmissão
– Controle de fluxo de quadros
Camada Enlace
• PROTOCOLOS NÍVEL DE ENLACE– Ethernet
– ATM (Asynchronous Transfer Mode)
– FDDI (Fiber Distributed Data Interface)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– FDDI (Fiber Distributed Data Interface)
– HDLC (High-level Data Link Control)• Protocolo síncrono, orientado a bit, de caráter geral
para canais full-duplex (ponto-a-ponto ou multiponto)
• HDLC é o tipo de encapsulamento padrão para cada porta serial em roteadores
Protocolo TCP/IP
• Camada Física/Enlace
– Principal protocolo utilizado: Ethernet
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• ETHERNET– Os elementos básicos do Ethernet
• QUADRO(Frame)– Conjunto padronizado bits usados para transporte
dados
Camada EnlaceCamada Enlacewww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
dados
• Protocolo MEDIA ACCESS CONTROL(MAC)– Regras de acesso
• COMPONENTES DE SINALIZAÇÃO– Dispositivos eletrônicos para enviar e receber dados
• MEIO FÍSICO– Cabos ou outros meios
• O Quadro Ethernet
Camada EnlaceCamada Enlacewww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Protocolo TCP/IP
• Camada Física/Enlace
– Principal protocolo utilizado: Ethernet
– Frame(Quadro) Ethernet
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte: http://dc195.4shared.com/doc/QPPNqFOW/preview.html
• PROTOCOLO MAC (Media Access Control)• Regras de controle de acesso à mídia – CSMA/CD
– Sinal está sendo transmitido • PORTADORA
– Quando deseja transmitir
Camada EnlaceCamada Enlacewww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Quando deseja transmitir• AUSÊNCIA DE PORTADORA
– Canal ocioso – espera breve tempo – IFG (InterFrame Gap – 96 bits)
• TRANSMITE QUADRO
– Duas estações transmitem simultaneamente • DETECÇÃO DE COLISÃO • REPROGRAMAR TRANSMISSÃO
Protocolo ARP
• Address Resolution Protocol
• Utilizado para mapear endereço IP(Nível superior) para endereço físico (MAC)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
superior) para endereço físico (MAC)
• Permite que o host origem encontre o endereço MAC do host destino
Protocolo TCP/IP
• Address Resolution Protocol (ARP)– Utilizado para mapear endereço IP(Nível superior)
para endereço físico (MAC)– Permite que o host origem encontre o endereço MAC
do host destinoFunções:
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
do host destino– Funções:
• Determinar endereço físico• Responder pedidos outros hosts
– Funcionamento• Antes de enviar:
– Verifica cache– Se encontrar endereço, envia frame– Se não encontrar, envia broadcast pedido ARP
Protocolo TCP/IP
• Address Resolution Protocol (ARP)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Protocolo TCP/IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Rede Local
Protocolo TCP/IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Rede Remota
Protocolo ARP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte Imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura01.jpg
Protocolo ARP
• Comandos do ARP– arp /? � help
– arp –a � exibe as entradas atuais
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
– É um protocolo de rede que protege a topologia da rede com loops gerados por algum dispositivo na rede local Ethernet
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
na rede local Ethernet
– STP é um protocolo da camada de enlace (Data Link Layer)
– Padronizado pelo IEEE como 802.1D
– Cada LAN é acessada pelas outras LANs através de um único caminho, sem loops
Protocolo TCP/IP
• Spanning Tree Protocol (STP)– A topologia lógica sem loops criada é chamada de árvore– É uma topologia lógica em estrela ou em estrela estendida– Spanning-tree (árvore de espalhamento) porque todos os
dispositivos da rede podem ser alcançados ou estão abrangidos por ela
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
abrangidos por ela– O algoritmo usado para criar essa topologia lógica sem
loops é o algoritmo spanning-tree– Esse algoritmo pode levar um tempo relativamente longo
para convergir– Para reduzir o tempo que uma rede leva para computar
uma topologia lógica sem loops, foi desenvolvido um novo algoritmo, chamado rapid spanning-tree
Protocolo TCP/IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Se o switch A parar, o segmento 2 continua ativo em razão da redundância garantida pelo switch B
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
STP adiciona portas em estado de bloqueio
Protocolo TCP/IP
• Spanning Tree Protocol (STP)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
1. STP estabelece um nó raiz chamado de bridge raiz2. Constrói uma topologia 2. Constrói uma topologia que tem um caminho para alcançar todos os nós da rede, a partir de uma árvore com origem na bridge raiz3. Os links redundantes que não fazem parte da árvore do caminho mais curto são bloqueados
Segurança de Redes
• Segurança Camada Enlace
–Alguns Ataques
• Sniffer
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Sniffer
• ARP Ataques
• SNIFFING
– É o procedimento realizado por uma ferramenta conhecida como Sniffer
– Também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo,
Segurança de Redeswww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless
– Constituída de um software ou hardware capaz de interceptar e registrar o tráfego de dados em uma rede de computadores
Segurança de Redes
• Sniffer
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte imagem: http://cdn.aiotestking.com/wp-content/ec-council/files/2012/01/312-50-E73-590x181.jpg
Segurança de Redes
• Sniffer– Usado para furto de informações:
• nomes de usuários, senhas, conteúdo de e-mails, - conversas chat, dados internos em uma empresa
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
mails, - conversas chat, dados internos em uma empresa
– Ataques internos (funcionários hostis)
– Ataques remotos, via Internet, com acesso privilegiado a um gateway (roteador de perímetro), que fica entre a rede interna e a externa
Segurança de Redes
• Sniffer
–Ferramentas:
• IPTraf
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• IPTraf
• Wireshark
• EtherDetect
• Kismet
Segurança de Redes
• ARP Poisoning/ARP Spoofing/MITM(Man In The Middle) – Quando uma falsa resposta é dada em consultas ARP– Um endereço MAC é associado a um IP que na
realidade não é o seu correspondente e então é adicionado na tabela ARP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
realidade não é o seu correspondente e então é adicionado na tabela ARP
– Consiste em modificar a tabela ARP de um computador se passando por outro
– Essa técnica permite desviar mensagens que seriam destinadas a outro computador para o seu
– Conhecido também como ARP Spoofing e Man In The Middle
Segurança de Redes
• ARP Poisoning/MITM(Man In The Middle)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura02.jpg
Segurança de Redes
• ARP Poisoning/ARP Spoofing/MITM(Man In The Middle)
• Ferramentas:
– Arpwatch/ Winarpwatch
• É um programa de monitoração da tabela ARP em uma rede
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• É um programa de monitoração da tabela ARP em uma rede
• A partir de uma cópia da tabela que ele mantém armazenada, este software de vigilância consegue detectar qualquer alteração no ARP cache
• Ao detectar alguma mudança na tabela, o Arpwatch gera relatórios e pode enviar mensagens de aviso por e-mail
Segurança de Redes
• Segurança Camada Física
– VLAN (Virtual Local Area Network ou Virtual
LAN)
• Estruturas capazes de segmentar, logicamente, uma
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast
• Possibilita a partição de uma rede local em diferentes segmentos lógicos (criação de novos domínios broadcast), permitindo que usuários fisicamente distantes (por exemplo, um em cada andar de um edifício) estejam conectados a mesma rede
Segurança de Redes
• Benefícios VLAN
– Controle Tráfego broadcast
– Segmentação lógica
– Redução de custos e facilidade de gerenciamento
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Redução de custos e facilidade de gerenciamento
– Independência da topologia física
– Maior segurança
Segurança de Redes
• Segurança Camada Física– Tipo de VLAN – Modelo 1
• VLAN de nível 1 (também chamada VLAN por porta, em inglês Port-Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
porta, em inglês Port-Based VLAN) – Define uma rede virtual em função das portas de
conexão no comutador
– Configuração é rápida e simples
– Desvantagem:
» Movimentação dos usuários � reconfiguração VLAN
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• VLAN
– Membros de uma VLAN podem ser definidos de acordo com as portas da ponte/comutador utilizadoutilizado
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte Imagem: http://sunsite.uakom.sk/sunworldonline/swol-07-1996/vlan1.gif
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte Imagem:http://www.corecom.com/external/livesecurity/vlan-fig2.gif
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 2
• VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
inglês MAC Address-Based VLAN) – Consiste em definir uma rede virtual em função dos
endereços MAC das estações
– Este tipo de VLAN é muito mais flexível que a VLAN por porta, porque a rede é independente da localização da estação
Segurança de Redes
• Tipo de VLAN - Modelo 2
– VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN)
– Os membros da rede virtual são identificados pelo
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Os membros da rede virtual são identificados pelo endereço MAC (Media Access Control) da estação de trabalho
– O comutador reconhece o endereço MAC pertencente a cada VLAN
Segurança de Redes
• Tipo de VLAN - Modelo 2– VLAN de nível 2 (igualmente chamada VLAN MAC, em
inglês MAC Address-Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Quando uma estação de trabalho é movida, não é necessário reconfigurá-la para que esta continue pertencendo a mesma VLAN, já que o endereço MAC faz parte da sua placa de interface de rede
– Problema: membro de uma VLAN deve ser inicialmente especificado, obrigatoriamente.
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 3
• VLAN de nível 2– Membros de uma VLAN camada 2 também podem ser
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabeçalho da camada 2
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 3
• VLAN de nível 2– Membros de uma VLAN camada 2 também podem ser
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabeçalho da camada 2
Segurança de Redes
• Segurança Camada Enlace
– Tipo de VLAN - Modelo 4
• VLAN de nível 2– Membros de uma VLAN camada 2 também podem ser
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo “tagged" inserido no protocolo do cabeçalho da camada 2
– Especificação 802.1Q
– É conseguido introduzindo um TAG com um identificador de VLAN (VID) entre 1 e 4.094 em cada frame
– As portas do Switch com protocolo 802.1Q podem ser configuradas para transmitir frames com tagged ou untagged
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/05/dot1qethernetframe.png
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte imagem: http://pplware.sapo.pt/wp-content/uploads/2010/12/vlans_01_thumb.jpg
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte Imagem: http://support.dell.com/support/edocs/network/BroadCom/R230837/bp/wntopt06.gif
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/04/vlan-trunk.png
Referências• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.
4. ed. São Paulo: McGraw-Hill, 2008.
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação.
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.