1.1 Objetivos da Segurança Informática Segurança ...
Transcript of 1.1 Objetivos da Segurança Informática Segurança ...
1
Segurança Informática / ISTEC - 19/20
Objetivos da Segurança Informática:
* Proteger e controlar o acesso a recursos informáticos:
• Informação (dados) e serviços
• Equipamentos que suportam a informação e serviços
* Impedir o acesso a informação/serviços e equipamentos por
entidades não autorizadas
• Ex. intrusos, concorrentes, inimigos, espiões
* Garantir disponibilidade da informação/serviços e equipamentos
* Garantir comunicação segura de informação privada
* Garantir boa reputação do detentor dos recursos informáticos
* Entidades vulneráveis todas as que estão ligadas em rede
• Empresas, governos, pessoas individuais
1.1 Objetivos da Segurança Informática
2
Segurança Informática / ISTEC - 19/20
Requsitos/Pilares da Segurança Informática:
* Autenticação e Controlo de Acessos:
• Possibilitar acesso a recursos informáticos apenas a entidades identificadas,
autenticadas e autorizadas
* Confidencialidade:
• Garantir que dados privados (confidenciais) transmitidos entre 2 entidades
(originador & destinatário) não são legíveis/compreendidos por terceiras
entidades (sem autorização) =>
– Comunicação de dados com encriptação
– Gestão de chaves de encriptação
* Integridade:
• Verificar que dados transmitidos não são alterados:
– Acidentalmente por erros de transmissão
– Propositadamente por terceira entidades sem autorização
• Não-Repudiação: impossibilidade de negação de identidade
* Disponibilidade:
• Garantir a operacionalidade da rede e serviços
1.1 Objetivos da Segurança Informática
3
Segurança Informática / ISTEC - 19/20
Conceitos básicos:
* Vulnerabilidade:
• Característica de um sistema que o torna mais sensível a ataques
– Exemplo: PC sem Anti-Vírus actualizado
* Ameaça:
• Possibilidade de dano resultante de um ataque com sucesso
– Exemplo: PC poder aceitar ficheiro com vírus não detectado por Anti-Vírus
* Ataque:
• Conjunto de procedimentos que levam à execução de uma ou mais atividades
ilícitas, geralmente explorando vulnerabilidades
– Exemplo: vírus infetar e poder destruir ficheiros do PC
* Risco:
• Probabilidade de um ataque/ameaça explorar uma vulnerabilidade
– Ex: risco elevado se ficheiro infetado for processado/transmitido com frequência
* Defesa:
• Conjunto de políticas e mecanismos de segurança, c\ objetivos:
– Diminuir vulnerabilidades e riscos de um sistema
– Deteção e impedimento eficaz de ataques/ameaças ou minimização do seu impacto
1.1 Objetivos da Segurança Informática
Ex. PC com Anti-Vírus actualizado
4
Segurança Informática / ISTEC - 19/20
Medidas de Segurança Informática:
* Objetivo: defesa contra ameaças
* Como funcionam:
• Prevenção:
– Medidas para impedir sucesso de ataque
• Ex. uso de Anti-Vírus actualizado
• Ex. uso de Firewalls => efectuar controlo de acessos a rede
• Deteção:
– Medidas para detetar ataque
• Ex. Anti-Vírus actualizado detectar e eliminar vírus
• Ex. uso de IDS (Intrusion Detection Systems) => alertar para
actividades suspeitas correspondentes a tentativas de intrusão
• Recuperação:
– Medidas para reposição do estado antes do ataque
• Ex. repor backups de ficheiros atacados
• Possibilitar recuperar parte do estado do recurso atacado (ideal seria
100%)
1.2 Medidas de Segurança
5
Segurança Informática / ISTEC - 19/20
Exemplos de medidas a implementar para garantir a Segurança
Informática:
* Medidas de confidencialidade (prevenção):
• Identificação
• Autenticação
• Autorização/Controlo de acessos
• Codificação/encriptação (criptografia)
* Medidas de integridade (deteção):
• Controlo de integridade
• Não-Repudiação
* Medidas de disponibilidade/tolerância a falhas (recuperação):
• Backups de dados
• Redundância de recursos
1.2 Medidas de Segurança
6
Segurança Informática / ISTEC - 19/20
Medidas de Confidencialidade:
* Identificação:
• Parâmetro que identifica univocamente um utilizador para com a rede:
userID (Ex. Nome de utilizador, Nº estudante)
• Faz parte do processo de configuração de conta de utilizador de rede
* Autenticação:
• Procedimento para verificar a identidade do utilizador
• Tipicamente, baseada num segredo que apenas o utilizador:
– Conhece: senha ou password
– Tem: smart card
– É (biometria): impressão digital, reconhecimento de voz ou retina ocular
=> mais eficaz, por ser intransmissível
• Tipos de autenticação:
– Directa com a outra entidade comunicante
– Baseada numa 3ª entidade, da confiança das 2 entidades comunicantes
• Credenciais de autenticação em rede: UserId + password
1.2 Medidas de Segurança
7
Segurança Informática / ISTEC - 19/20
* Autorização/Controlo de Acessos:
• Procedimento de verificação de autorização de acesso a recursos
informáticos por parte de um utilizador/entidade:
– Entrada/saída de Rede => usar Firewall
– Recursos da rede => permissões de acesso:
• Utilizador, a cuja identidade é efetuado o controlo
• Tipos de permissões de acesso de utilizador a recurso:
* Não Acesso, Acesso, Leitura, Escrita, Remoção
* Codificação/Encriptação (confidencialidade):
• Assegurar que informação confidencial e privada transmitida entre 2
utilizadores (originador&destinatário) não vai ser lida e
compreendida por terceiros (sem autorização)
• Recorre a criptografia para encriptar dados transmitidos
1.2 Medidas de Segurança
8
Segurança Informática / ISTEC - 19/20
Medidas de Integridade:
* Não-Repudiação e Controlo de Integridade:
• Verificação de identidade de originador transmissor de mensagens
• Verificação da integridade da mensagem
• Assegurar que qualquer transacção efectuada entre 2 entidades é
passível de ser provada com o acordo de ambas as partes
• Geralmente utilizado o mecanismo de Assinatura Digital:
1.2 Medidas de Segurança
AD
ADAlice
Mensagem
Original (MO)Assinatura
Digital (AD)
MO + AD
INTERNET
AD
AD
Chave Privada
de Alice
Encriptação Encriptação
Chave Publica
de Bob
Desencriptação
Chave Privada
de BobChave Publica
de Alice
Bob
Se Desencriptação de AD = MO => Alice Autenticada e MO sem erros
Desencriptação
9
Segurança Informática / ISTEC - 19/20
Medidas de Disponibilidade/Tolerância a falhas:
* Procedimentos de tolerância a falhas:
• Efectuar backups periódicos de dados
– Facilitar reposição de dados “atacados”
• Garantir redundância de máquinas
– Minimizar indisponibilidade de serviços “atacados”
1.2 Medidas de Segurança
10
Segurança Informática / ISTEC - 19/20
Principais objectivos de taques/ameaças :
• Causar incómodo e danos pessoais/empresariais
• Roubo ou destruição de informação
• Inacessibilidade a recursos
• Redução de produtividade
Tipos de ataques/ameaças, exemplos:
* Captura de informação (Sniffing):
• Captura de informação confidencial (ex. passwords) com
analisadores de tráfego de rede (sniffers, ex. wireshark)
* Negação de Serviço (Denial-of-Service):
• Ataque a servidores da rede para colocar serviços indisponíveis
* Fraude por acesso indevido a recursos:
• Ex. utilização de identidade falsa (Spoofing) para efetuar atos ilícitos
* Redireccionamento de dados (Hijacking):
• Desvio de fluxo de dados de uma comunicação para equipamento
intruso de modo a possibilitar a sua escuta/leitura/processamento
1.3 Ameaças à Segurança
11
Segurança Informática / ISTEC - 19/20
Tipos de ataques/ameaças, mais exemplos:
* Falsificação de identidade (Spoofing) para captura de informação
(Phishing): Ex. E-mail com identidade falsa para requisitar
informação confidencial
1.3 Ameaças à Segurança
12
Segurança Informática / ISTEC - 19/20
Outros tipos de ataques/ameaças, mais exemplos:
* Malware (MALicious softWARE):
• Vírus: SW que necessita de ficheiro hospedeiro para se
propagar e atacar (.exe, .com)
• Worms: SW que não necessita de ficheiro hospedeiro para se
propagar e atacar
• Cavalos de Troia: SW que se instala em maquina e espera
timing para atacar
* Canais dissimulados/Backdoors
• Ex. exploração de vulnerabilidade ou ação de Malware para
preparar acesso não autorizado a recursos da rede
1.3 Ameaças à Segurança
13
Segurança Informática / ISTEC - 19/20
Outros tipos de ataques/ameaças, mais exemplos :
* Warfare (técnicas de guerra):
• Terrorismo Informático
• Espionagem económica ou militar
* Pessoal:
• Acesso interno a dados/recursos não autorizado ou controlado
• Destruição física (vandalismo)
• Roubo de equipamento ou informação
1.3 Ameaças à Segurança
14
Segurança Informática / ISTEC - 19/20
Outros tipos de ataques/ameaças, mais exemplos :
* Não intencionais:
• Infraestruturas:
– Falhas de equipamentos
– Falhas de energia
– Erros de programas ou de sistemas operativos
– Concentração de demasiadas funcionalidades num mesmo
recurso, sujeito a ataque
• Ambiental:
– Desastres naturais
1.3 Ameaças à Segurança
15
Segurança Informática / ISTEC - 19/20
Principais ataques/ameaças correntes:
* Exploração de vulnerabilidades conhecidas:
• Solução: atualizações periódicas de SW (incluindo anti-vírus)
* Receção e leitura de e-mails maliciosos com links HTML para sites
com malware:
• Solução: não clicar em links de e-mails desconhecidos/estranhos
* Falsificação de identidade (Spoofing) para captura de informação
confidencial (Phishing):
• Solução: não responder a e-mail que peçam informação confidencial
* Uso indevido da internet para acesso a sites com malware:
• Soluções:
– usar WAF: Web Application Firewall
– usar configurações de segurança em browsers
– limpar periódica/ dados de navegação de sites visitados (ex. cookies)
1.3 Ameaças à Segurança
16
Segurança Informática / ISTEC - 19/20
Principais ataques/ameaças correntes:
* Dispositivos portáteis perdidos ou roubados:
• Soluções:
– gestão centralizada, com planeamento de ação a executar em caso de
perda (se for possível manter conectividade com dispositivo)
– encriptação de dados
* Utilização imprudente de redes Wi-Fi públicas:
• Solução: usar sempre ligações encriptadas para transmissão de
dados privados (ex. VPNs)
* Falta de plano de contingência em caso de ataques:
• Solução: garantir redundância e backups de serviços e dados
* Ataques internos:
• Menos prováveis do que ataques externos, mas com maior
facilidade em causar mais danos => maior conhecimento e menor
controlo
• Solução: controlo de acessos internos a serviços e dados
1.3 Ameaças à Segurança
17
Segurança Informática / ISTEC - 19/20
Vulnerabilidades de redes de comunicações podem ser causadas por
fragilidades em diversas áreas:
* Serviços da rede, ex. Domain Name System (DNS)
* Protocolos de comunicação da rede, ex. ARP/MAC, UDP, TCP
* Protocolos de aplicações de utilizadores, ex. e-mail
2.1 – Introdução
18
Segurança Informática / ISTEC - 19/20
Resolução Errada de Nomes DNS (DNS Spoofing):
* Procedimentos para registar e associar a nomes verdadeiros
endereços IP enganadores maquinas controladas por atacantes
* DNS não foi originalmente desenhado para evitar ataques Spoofing
* Características de ataque DNS Spoofing:
• Utiliza procedimento de envenenamento de cache DNS (DNS
cache poisoning)
– Evenenamento: efeito do ataque persite enquanto a memória
cache (dinâmica) não for limpa (ex. TTL expirar)
• Cache DNS: memória onde servidores DNS guardam
temporáriamente os registos dos últimos pares nome/endereço
traduzidos, nomeadamente:
– Pares nome/endereço que não pertencem ao seu domínio e
que, por isso, servidor teve que interrogar outros DNSs
– Pedidos feitos sobre protocolo UDP (User Datagram
Protocol) e autenticados de forma fraca
2.3 – Resolução Errada de Nomes DNS
19
Segurança Informática / ISTEC - 19/20
Resolução Errada de Nomes DNS (DNS Spoofing):
* Soluções para evitar DNS cache poisoning =>
• Utilização de procedimentos de autenticação e não-repúdio de
clientes e servidores DNS (certificados)
• Utilização de procedimentos de encriptação na comunicação com
servidores DNS externos
• Ex. usar DNSSEC (DNS Security Extensions ), RFC 3833
2.3 – Resolução Errada de Nomes DNS
20
Segurança Informática / ISTEC - 19/20
Certificado Digital:
* Garantia de Autenticação e Não Repúdio
• Distribuição de Chaves Públicas
* Alice para comunicar com Bob
• Requisitar Certificado Digital de Bob a entidade de Certificação
* Conteúdo de Certificado Digital:
• Identificação (pessoa, empresa)
• Prazo de validade
• Chave Pública de destinatário (Bob) para posterior encriptação da
comunicação entre Alice e Bob
• Assinatura Digital (acateto 16) de entidade de Certificação
– gerada sobre informação anterior com chave privada de
originador (Alice) => ser verificada por destinatário (Bob) com
chave publica de originador (Alice)
* Entidades emissoras de Certificado autoridades de confiança
• Usados nos protocolo de comunicação segura para autenticação de
cliente&servidor e transporte de chaves de encriptação, ex. TLS
2.3 – Resolução Errada de Nomes DNS
21
Segurança Informática / ISTEC - 19/20
Obtenção Errada de Endereços MAC - MAC Spoofing:
* Cada terminal guarda cache ARP (Address Resolution Protocol) com
mapeamento endereços IP/MAC de outros terminais com quem comunica
* Tabela com conteúdo dinâmico em função de respostas a pedidos ARP
dos outros terminais comunicantes (para associar endereço MAC a IP):
• Pedidos efetuados para possibilitar comunicação c\ base em MAC address
* Procedimento de envenenamento de cache ARP:
• Atacante envia Resposta ARP não solicitada a switch com MAC address de servidor
atacado => comunicações para (MAC de) servidor passam a ser redirecionadas para
atacante (em vez de servidor):
2.4 – Obtenção Errada de Endereços MAC
1) Pedido a servidor
2) Encaminhado pra
Atacante c\ MAC falso
Atacante consegue obter
permissão de administrador
de rede
22
Segurança Informática / ISTEC - 19/20
MAC Spoofing:
* Endereços MAC endereços usados para comunicações internas =>
podem ser alterados em ataques efetuados a partir do interior da rede
• Tráfego interno geral/ considerado seguro (excepto nos acessos Wi-Fi)
• DNS spoofing: ataques efectuados do exterior da rede
* Soluções para evitar envenenamento de caches ARP:
• Restringir a possibilidade de alterações de endereços MAC de
terminais de redes apenas aos respectivos administradores
– Forçar que as respostas ARP só possam ser dadas por routers
que contem tabela ARP com os endereços IP/MAC de todos os
terminais de uma rede
• Monitorização da rede para detecção de cenários estranhos:
– Uso de IDS: Monitorização de tráfego em nós centrais que
encaminham tráfego, ex. switches
• Verificação de conteúdo de respostas ARP não solicitadas
• Maior latência em fluxos de mensagens na rede
2.4 – Obtenção Errada de Endereços MAC
23
Segurança Informática / ISTEC - 19/20
Ameaças à confidencialidade das comunicações:
* Ferramentas de inspecção de tráfego e conteúdos: sniffers
• Ex. Wireshark, inicial/ concebidos para serem usados em análise e
deteção de problemas nas redes IP
• Possibilidade de obtenção de informação confidencial, se não estiver
protegida:
– Ex. Palavras-passe (passwords) de acesso a serviços privilegiados
* Técnicas de redireccionamento de tráfego para escuta do mesmo
• Ex. DNS e MAC spoofing
* Como evitar: usar protocolos de encriptação de dados, ex. IPSec/ESP:
• Se requisito for esconder conteúdo de dados e identidade de
interlocutores => usar VPN em modo túnel
2.5 – Confidencialidade e Autenticidade
24
Segurança Informática / ISTEC - 19/20
Ameaças à autenticidade e Integridade das comunicações:
* Ataques Man In The Middle (MITM):
• Garantir que conteúdos não são interceptados e modificados por
intrusos
• Garantir que intrusos não inserem mensagens fraudulentas na
comunicação
– Ex. Protocolo IP não garante controlo de integridade de dados de
pacotes
• Como evitar: usar protocolos de encriptação e controlo de integridade,
ex. IPSec/ESP
* Autenticidade de interlocutores:
• Requisito de comprovativo de verdadeira identidade de intervenientes
numa comunicação (não repúdio)
– Intervenientes são quem dizem que são e não impostores
– Ex. DNS Spoofing
• Como evitar: usar protocolos de autenticação, ex. IPSec/AH ou
DNSSEC
2.6 – Autenticidade e Integridade
25
Segurança Informática / ISTEC - 19/202.7 – Passwords Fracas/Fortes
1) Qual a senha?
3) Ok és o Bob!
(Bob autenticado)
5) A contra-senha é Y
2) A senha é X
4) Qual a contra-senha?6) Ok és a Alice!
(Alice autenticada)
Ameaças à captura de credenciais de autenticação na rede:
* Procedimento baseado na partilha de um segredo entre 2 pessoas e na
demonstração por parte de ambas que conhecem esse segredo
• Procedimento tradicional de identificação de pessoas
• Além de senha para autenticação de pessoa a autenticar, geral/ era usada
contra-senha para autenticar o autenticador
• Usado em organizações onde o fator segurança é critico, ex. Forças Armadas
* Nas comunicações de dados é usado na autenticação de utilizadores para com
a rede e da rede para com os utilizadores (autenticação mútua) => reduzir
probabilidade de sucesso de ataques MITM
26
Segurança Informática / ISTEC - 19/20
Ameaças à captura de credenciais de autenticação na rede:
=> Usar critério de passwords fortes:
* Mecanismos de descoberta de passwords podem ficar facilitados se
estas forem fracas:
• Passwords de fácil descoberta por intrusos:
– Constituídas por palavras fácil memorização pelos seus utilizadores
– Tamanho curto
• Maior conhecimento de vida pessoal de vitima:
– Maior probablidade de sucesso de adivinhar password
* Critérios para criação de password forte:
• Ter pelo menos oito caracteres
• Não conter o userid do utilizador
• Conter diferentes tipos de caracteres: letras maiúsculas/minuscúlas,
números e simbolos de teclado (ex. €)
• Ser renovada periodicamente e bastante diferente da anterior
2.7 – Passwords Fracas/Fortes
27
Segurança Informática / ISTEC - 19/20
Pedidos Fraudulentos sobre UDP:
* Protocolo UDP: protocolo simples e sem controlo de tráfego
• Não requer troca de mensagens entre fonte e destino antes de se
iniciar comunicação de dados (não orientado à ligação, como TCP)
• Facilita tarefa de atacantes, sobretudo, por falsificação de identidade
– Ex. Ataque Fraggle, semelhante a ataque Smurf (com IP/ping)
2.8 – Pedidos Fraudulentos sobre UDP
Porto Echo: #7
Devolver mensagem
recebida
Porto Chargen
(Character Generator):
#19
Geração e envio de
caracteres de teste
Ataque:
1) A vai pedir a todos
os terminais da rede
(braodcast) para
Como evitar: restringir o uso de endereços de difusão
28
Segurança Informática / ISTEC - 19/20
Iniciação fraudulenta de ligações TCP c\ ataque Man In The Middle:
* Procedimento mais díficil do que para UDP:
• Estabelecimento de ligação necessita de acknowledge de recetor
• Necessário atacante (Mallory) interceptar valor de SN de SYN/ACK
de Bob, para poder usar em ACK a enviar a Bob
2.9 – Iniciação fraudulenta de ligações TCP
Ligação normal
estabelecidaBob
SYN
Alice
SYN/ACK
ACK
Ligação anormal
Não estabelecida
SYN
Alice
SYN/ACK
RST
BobMallory
Ligação anormal
estabelecida
SYN
Alice
SYN/ACK
ACK
BobMallory
Seq. Num.
intercetado
por Mallory
29
Segurança Informática / ISTEC - 19/20
SMTP (Simple Mail Transfer Protocol), RFC 821:
* Protocolo de suporte ao serviço de e-mail
* Tem mecanismo fraco de verificação de autenticidade de origem de
mensagens
• Servidor autentica cliente da mailbox c\ base em userid+password
• Servidor geral/ verifica apenas o endereço IP da origem da mensagem
– Para assegurar que pertence ao seu domínio
• Campo “From” (nome e endereço de autor) poderá ser preenchido ao
critério do autor da mensagem: humano (spammers) ou virtual (vírus)
– Vulnerabilidade explorada por 2 tipos de ameaças:
1. Spammers: colocam endereços falsos nos campos anteriores, para
não serem identificados como fontes de spam (e-mails não
solicitados)
2. Vírus: utilizam listas de endereços de cliente para se propagarem,
enviando e-mails para esses endereços
• Maior probabilidade de destinatários acreditarem na veracidade do e-mail por
conter endereço origem conhecido e possivelmente subject apelativo
• Caso endereço origem conhecido seja falso, não responderem para mailbox
originadora, de cliente possível/ já infetado => não sinalizar ataque
2.10 – Problemas de Autoria em e-mail
30
Segurança Informática / ISTEC - 19/20
Ataques Denial of Service (DoS):
* Objectivo: impedir que um serviço opere normalmente,
impossibilitando o acesso dos seus clientes ao mesmo
* Estratégias de ataques DoS:
• Sobrecarga dos servidores com excesso de pedidos de acesso
– Exploração de vulnerabilidades que provocam
indisponibilidade nos sistemas
• Ex. TCP SYN flood:
• Cliente envia n mensagens SYN com endereços origem
falsos e diferentes
• Servidor aloca recursos até exaustão (DoS) sem esperar
por receber ACKs (confirmações) de endereços
falsos/inexistentes
• Sobrecarga de rede de acesso a servidores com tráfego “inútil”
* Ataques coordenados por várias máquinas: Distributed Denial of
Service (DDoS):
• Objectivo de DDosS: amplificar efeito de ataque DoS por ter
origem em várias frentes
2.11 – Ataques à Prestação de Serviços
31
Segurança Informática / ISTEC - 19/20
• Protocolo SCTP (Stream Control Transmission Protocol – RFC 4960) “sucessor”
de TCP:
* SCTP c\ maior protecção contra ataques DoS (Denial of Service)
* Efectua procedimento 4xWay Handshaking=>troca de 4 mensagens
* Servidor (B) só reserva recursos para o pedido de ligação após
receber pacote de confirmação COOKIE-ECHO de Cliente (A)
* Obrigar Cliente (A) a validar o seu endereço via COOKIE-ECHO
Reserva de
Recursos
Reserva de
Recursos
2.11 – Ataques à Prestação de Serviços
32
Segurança Informática / ISTEC - 19/20
Amplificação de ataques (DDoS):
* 2 Estratégias:
• Usando redes Botnets (rede de robots):
– Redes de computadores controlados por malware, que atacam
terminais de uma rede sem serem detectados pela rede e
utilizador legitimo
– Terminais infectados podem efectuar ataques coordenados à
mesma vitima
• Usando mecanismos de amplificação de tráfego, de várias frentes:
– Explorando funcionalidade dos protocolos
• Ex. Endereços de difusão
– Explorando mecanismos de pergunta/resposta
• Ex. Serviços de resolução de nomes DNS
2.11 – Ataques à Prestação de Serviços
Terminal Atacante Terminal Vítima
Rede Amplificadora
33
Segurança Informática / ISTEC - 19/20
Ataques DDoS: redes de agentes de SW (Botnets):
* Vários terminais de uma ou de diferentes redes são infectados com
malware:
• Pode propagar-se para outros computadores automaticamente
• Ex. Usando lista de contactos do e-mail
• Pode anunciar o estado do contágio à fonte ou coordenador, via
backdoors por si criados: ex. e-mail
• Pode conter comandos de ataque coordenado (vírus ou worm)
• Pode esperar por data/hora de ataque coordenado (cavalo de troia)
• Pode roubar (transmitir) ou destruir informação do utilizador legítimo
do terminal via backdoors
• Como evitar: controlo de acesso eficaz via Firewalls de rede e
actualizações de SW para eliminação de vulnerabilidades
2.11 – Ataques à Prestação de Serviços
34
Segurança Informática / ISTEC - 19/20
* Exemplo de redes de agentes de SW (Botnets):
2.11 – Ataques à Prestação de Serviços
1) Terminais e Servidor atacados,
ficam infetados e controlados por bots2) Bots recebem ordem de atacante
criador para efetuarem ataque coordenado
DDoS a terminal de vítima
3) Terminal de vitima
sofre ataque DDoS
de bots
Criador/Coordenador
35
Segurança Informática / ISTEC - 19/20
Ataques DDoS: Exploração de funcionalidade dos protocolos:
* Uso indevido de endereços de difusão
• Ex. Ataque Smurf:
– Envio de mensagens ICMP Echo Request (Ping) para o
endereço de brodcast (difusão) de uma rede, colocando
endereço de vítima como originador de Ping para ser inundado
com as respostas (Echo Reply)
• Ex. Ataque Fraggle:
– Semelhante a Smurf, mas com o uso de mensagens UDP
• Protocolo UDP não necessita de estabelecer uma ligação
• Ver slide anterior deste capítulo
• Como evitar: restringir o uso de endereços de difusão a
administradores de rede
2.12 – Amplificação de Ataques
36
Segurança Informática / ISTEC - 19/20
Ataques DDoS: Exploração de mecanismos de pergunta/resposta:
* Características de ataques via Servidores DNS:
• Preferencial/ usando protocolo UDP para troca de perguntas e
respostas (para que não seja estabelecida ligação cliente/servidor)
• As mensagens das respostas conterem uma dimensão bastante
superior à das mensagens das perguntas (DNS queries)
• Ex. Servidor DNS (próximo acetato):
– Atacante forja DNS record (geral/ TXT) que origine uma DNS
response com uma dimensão bastante superior à respetiva
mensagem de DNS query, em servidor DNS por si controlado
Record Amplificador (de tráfego)
– Atacante envia várias DNS queries para consultar record
Amplificador para vários servidores DNS recursivos com o
endereço de origem do pedido falsificado (endereço da vítima)
– Servidores DNS respondem e inundam terminal da vitima com
mensagens de grande dimensão
– Efeitos de ataque: sobrecarga de terminal de vitima e possível
congestão da rede de acesso a vítima
2.12 – Amplificação de Ataques
37
Segurança Informática / ISTEC - 19/20
Ataques DoS ao Serviço DNS
* Não costumam ter um impacto correspondente à importância dos
servidores DNS no funcionamento da rede
• Serviço resistente, em virtude da arquitectura distribuída e autónoma:
– Nomes definidos e estruturados em hierarquias autonomas
– Grande quantidade de servidores que disponibilizam serviço
• Serviço com impacto limitado:
– Ataque a servidor DNS de LAN apenas afeta comunicações dessa
LAN, e no caso da LAN não ter um servidor DNS
secundário/redundante
• Existência de vários servidores globais:
– Ataque e falha de um servidor pode ser compensado pelos
restantes servidores
– Ex. em Outubro 2002 ocorreu DDoS aos 13 servidores-raíz (gTLD)
do serviço DNS, com inundação com mensagens ICMP durante 1
hora
• 9 dos 13 servidores ficaram fora de serviço
• Impacto na maioria dos utilizadores da internet foi reduzido
2.12 – Amplificação de Ataques
38
Segurança Informática / ISTEC - 19/20
Ataques DoS ao Serviço DNS
* Medidas preventivas para não sobrecarregar servidores e reduzir sucesso do
ataque a DNS:
• Auto-proteção de servidores:
– Limitar o nº de pedidos atendidos por servidores
• Restringir transferências de zona DNS:
– Transferência de Zona: servidor secundário atualiza quando
necessário ou periódica/ a sua BD com informação do Servidor
Primário
• Necessárias para cópia e sincronização de informação para outro servidor
DNS secundário (redundante)
– Restringir transferências a servidores de “confiança” do mesmo
domínio:
• Indicados nos registos de recursos do servidor de nomes (NS) e
especificando os respectivos endereços IP (registo A)
• Ex. secundários da mesma zona ou primários de sub-domínios delegados
(sub-zona hierárquica/ inferior)
• objetivo: impedir que intrusos atualizem zonas de DNS
• Usar DNSSEC para evitar atualizações fraudulentas de DNS:
2.12 – Amplificação de Ataques
39
Segurança Informática / ISTEC - 19/20
Procedimentos para definição de política de segurança nas organizações
* Sobretudo para PME: Pequenas e Medias Empresas com menos recursos
informáticos e financeiros:
1. Identificar as vulnerabilidades do sistema informático
2. Identificar os potenciais ataques que podem explorar as
vulnerabilidades do sistema informático
3. Estimar o custo de cada ataque, se concretizado
4. Estimar o custo das medidas de segurança a adotar para minimizar
probabilidades de sucesso de ataques
5. Com base em 3&4 efetuar uma análise custo/benefício para decidir
que medidas de segurança deverão ser adoptadas e integradas no
sistema informático
• Ex. analisar viabilidade de aquisição de equipamentos de rede
redundantes
3.1 – A Segurança nas Organizações
40
Segurança Informática / ISTEC - 19/20
Políticas e Procedimentos (a maioria é de “uso obrigatório”):
* Utilização de equipamentos de controlo da entrada/saída para
protecção dos recursos da rede (Firewall):
• Configuração da porta de controlo de entrada/saída do perímetro,
que define o limite dos recursos informáticos da organização
* Utilização de equipamentos de deteção e notificação de atividades
suspeitas (IDS)
• Deteção de atividades anormais que possam ser tentativas de intrusão
* Formação e Treino em Segurança Informática:
• Ensinar e sensibilizar todos os colaboradores para a importância de
comportamentos que garantam a segurança informática
* Informação aos Novos Utilizadores:
• Transmitir a novos colaboradores da organização as regras de
segurança da mesma (ex. termo de confidencialidade)
* Definição de Níveis de Serviço:
• Definição de tempos máximos toleráveis de indisponibilidade de recursos e serviços acordados com fornecedores
3.1 – A Segurança nas Organizações
41
Segurança Informática / ISTEC - 19/20
Políticas e Procedimentos
* Acesso Físico às Instalações:
• Garantir acesso a instalações apenas a entidades autorizadas e
nas condições definidas pela organização
* Segurança na Externalização de Serviços:
• Garantir que atividades de utilizadores externos, prestadores de
serviço, não comprometem a segurança da organização
* Controlo de Acesso a Sistemas Computacionais:
• Definição de perfis para grupos de utilizadores, para facilitar
controlo de permissões de acesso e configurações de recursos
* Configuração e Gestão de Equipamentos de Utilizadores Clientes:
• Definição de configurações standard dos equipamentos (ex. PC
portátil) em função de perfis de utilizadores
* Uso Aceitável de Privilégios:
• Definição de critério de necessidade de pesquisa de logs dos
utilizadores por administradores de rede
3.1 – A Segurança nas Organizações
42
Segurança Informática / ISTEC - 19/20
Políticas e Procedimentos (medidas já abordadas nos Cap1&2):
* Autenticação e Controlo de Acesso:
• Garantir que apenas utilizadores identificados e autorizados
poderão aceder à rede e a recursos da mesma
* Criação e Gestão de Palavras-Passe (passwords):
• Garantir que escolha de passwords cumpre com os requisitos de
senhas fortes
* Ligações e Acessos Remotos Seguros:
• Garantir acesso remoto seguro a organização
– Ex. usando ligações VPN ou linhas dedicadas
* Cópias de Segurança e Recuperação de Desastre:
• Garantir que dados e configurações são guardados periodicamente,
em recursos redundantes, para poderem ser repostos sempre que
necessário
3.1 – A Segurança nas Organizações
43
Segurança Informática / ISTEC - 19/20
Políticas e Procedimentos (medidas já abordadas nos Cap1&2):
* Proteção contra Malware:
• Garantir existência de software e sistema anti-vírus atualizado em
todos os PCs e servidores
* Utilização da Internet:
• Definição de critério de acesso a sites da internet
– Ex. bloquear acesso a lista de sites inapropriados ou potencial/
com malware
* Correio Eletrónico (e-mail):
• Definição de regras de utilização de correio electrónico
– Ex. impossibilidade de receber e-mails com ficheiro em attach
que não satisfaçam as regras de utilização
• Ex. ficheiros acima de uma determinada dimensão
3.1 – A Segurança nas Organizações
44
Segurança Informática / ISTEC - 19/20
Objetivos das Firewalls:
* Implementação de política de segurança para defesa de perímetro darede recursos informáticos de uma organização:
• Proteção/Defesa por “isolamento” de máquinas da rede interna:
– Contra acessos externos não autorizados ao perímetro da rede
• Controlo de acesso, fluxo e conteúdos
– De interações autorizadas entre as redes interna e externa
* Colocadas nas fronteiras das redes a proteger:
• Permite implementar políticas de segurança de forma centralizada
– Interceta e controla todo o tráfego que entra/sai da rede
• Sistema de componentes de hardware e software planeado com o objetivo de restringir o acesso ao interior (e para o exterior) de uma rede:
– Hardware: routers e equipamentos acoplados com routers
– Software: filtros e monitores de tráfego, geral/ incorporados como funcionalidades de routers
3.2 – Firewalls
45
Segurança Informática / ISTEC - 19/20
Introdução às Firewalls:
3.2 – Firewalls
46
Segurança Informática / ISTEC - 19/20
Introdução às Firewalls:
* Tarefas da responsabilidades de uma Firewall de rede:
• Implementar políticas de segurança num ponto único de entrada/saída da rede
• Monitorizar eventos ou incidentes relacionados com segurança e fazer o seu registo (log)
• Disponibilizar interacção com funcionalidade de autenticação em complemento de controlo de acesso
* Tarefa que não é da responsabilidade de uma Firewall da rede:
• Proteção contra ameaças originadas dentro da rede protegida
– Ex. colaboradores insatisfeitos ou um infiltrado a colaborar com um atacante externo à rede
– Podem ser evitadas por firewalls individuais para proteção de maquinas individuais (~firewalls pessoais de PCs)
3.2.1 – Introdução às Firewalls
47
Segurança Informática / ISTEC - 19/20
DMZ (DeMilitarized Zone)
* Sub-rede de uma organização onde se colocam servidores que podemser contactados do exterior
• Ex. servidores HTTP para divulgar produtos e serviços da organização
* Servidores com sistemas e aplicações de “risco” (ex. HTTP ou SMTP)
• Constituídos por máquinas “sacrificáveis”: toda a sua informação deve poder ser reposta na íntegra sem colocar em risco o normal funcionamento da rede interna
* Redução de risco de DMZ:
• Limitar máquinas “sacrificáveis” à sua função, minimizando a interação com outras máquinas da rede interna =>
– impedir o comprometimento de máquinas da rede interna a partir de servidores públicos
• Limitar o tráfego única e exclusivamente ao que é esperado para as aplicações que correm nos servidores da DMZ
• Em redes maiores poder isolar máquinas “sacrificáveis” em DMZsseparadas, usando VLANs diferentes
3.2.4 – DMZ
48
Segurança Informática / ISTEC - 19/20
Funcionalidades disponibilizadas pelas Firewalls (podem funcionar em paralelo):
* Filtro de pacotes estático/stateless (1ª Geração):
• Controlo de acesso efetuado pacote-a-pacote com base na análise de conteúdos de parâmetros com valores estáticos nos cabeçalhos dos pacotes de uma ligação (ex. endereços IP públicos)
* Filtro de pacotes dinâmico/stateful (2ª Geração):
• Controlo de acesso efetuado com base na análise de parâmetros com valores variáveis por ligação (ex. nºs de sequência) transportados nos cabeçalhos dos pacotes examinados
• Suporta regras de filtros de pacotes estáticos
* Filtro/Gateway aplicacional (3ª Geração):
• Controlo de acesso efetuado via proxy, com base em analise de especificidades de um determinado protocolo de uma aplicação
• Suporta regras de filtros de pacotes estáticos e dinâmicos
* Network Address Translation (NAT):
• Conversão por Gateway de endereços privados, de comunicações internas, em públicos, para comunicações com o exterior (internet)
3.2.5 – Funcionalidades das Firewalls
49
Segurança Informática / ISTEC - 19/20
Filtro de pacotes estático (Stateless Filtering):
* Filtros de controlo de acessos definidos com base em parâmetroscom valores estáticos nos cabeçalhos de pacotes de uma ligação,por exemplo:
• Endereços IP de origem e destino
• Serviços e portos da camada de transporte (origem e/ou destino)
• Sentido das ligações
• Protocolos de transporte
* ACL (Access Control List): conjunto de regras definidas em filtro paracontrolo de acessos de Firewall
* Decisões de deixar passar (Pass) ou eliminado (Drop) pacotestomadas pacote-a-pacote IP
* No modelo estático não é guardado qualquer tipo de informaçãosobre o estado da ligação (stateless)
3.2.5.1 – Filtros de pacotes
50
Segurança Informática / ISTEC - 19/20
Filtro de pacotes estático:
* Vantagens:
• Simples de implementar e gerir
• Baixo custo
• Eficiente e transparente para o utilizador configurador
* Desvantagens:
• Ineficazes contra ataques que explorem vulnerabilidades de aplicações da rede
– Não guardam e monitorizam estado da ligação
– Não examinam fluxos aplicacionais, apenas parâmetros estáticos de cabeçalhos
• Não suportam esquemas de autenticação
• Conjunto de variáveis para estabelecimento de regras é curto
3.2.5.1 – Filtros de pacotes
51
Segurança Informática / ISTEC - 19/20
Filtro de pacotes dinâmico (Stateful Filtering):
* Controlo de acesso baseado na identificação e estado de uma sessão:
• Quando é estabelecida uma sessão legítima, a Firewall mantém e monitoriza o registo do estado da respetiva ligação, nomeada/, os valores de parâmetros específicos de cada uma:
– Endereços e portos de serviços (parâmetros “estáticos”)
– Porto cliente (parâmetro “variável” por ligação)
– Identificador de sessão (parâmetro “variável” por ligação)
– Nºs de sequência e ACK de pacotes (parâmetros “variáveis” durante a ligação)
• Firewall deve “aceitar” todos os pacotes cujos valores dos parâmetros controlados estejam em conformidade com o seu estado
• Se um pacote ainda não fizer parte de uma sessão previamente estabelecida aplicam-se as regras por defeito para filtragem de pacotes estática (Stateless Filtering), podendo o pacote ser barrado
* Mecanismo mais eficaz do que filtros estáticos:
• Obriga atacante a ter informação mais detalhada sobre sessões ativas
3.2.5.1 – Filtros de pacotes
52
Segurança Informática / ISTEC - 19/20
Filtro aplicacional:
* Gateway tem proxy para mediar todas as comunicações entre um cliente(interno/externo) e um servidor (externo/interno)
* Utilizado um proxy por protocolo da aplicação, para controle dasfuncionalidades do respetivo protocolo
• Funcionalidade que não são analisadas pelos filtros anteriores (1ª&2ªG)
• Filtros de 1ª&2ªGeração apenas analisam parâmetros de protocolos de camadas inferiores (ex. rede e transporte) comuns a todas as aplicações
* Permitem definir políticas de segurança flexíveis e completas, ex.:
• Autenticação de utilizadores
• Análise e alteração de conteúdos
– ex. remover attaches “.exe” de e-mails
• Regras baseadas na hora e dia da semana
• Regras independentes/específicas por protocolo
• Controlo de utilização de largura de banda disponível
– Possibilidade de restringir hora e velocidade de acesso a lista de sites web
3.2.5.2 – Filtros Aplicacionais
53
Segurança Informática / ISTEC - 19/20
Network Address Translation (NAT):
* Objetivos do NAT:
• Esconder do exterior informação da topologia da rede
• Impedir comunicações originadas em máquinas externas de endereçarem diretamente maquinas internas (por não conhecerem os seus endereços privados)
– Se rede protegida não tiver servidores públicos (DMZ) não deverá ser possível iniciar comunicações do exterior por utilizadores que não tenham credenciais para autenticação na rede corporativa
• Mascarar identificação de comunicações internas (IP Masquerading)
• Poupança de endereços públicos em redes de maiores dimensões, em que o tráfego interno tem um volume bastante superior ao tráfego para o exterior (objectivo adicional à segurança)
* Utilização de endereços privados nas comunicações internas que sãoconvertidas em endereços públicos nas comunicações externas
• IANA recomenda gama de endereços privados:
– 10.x.x.x, 172.[16..31].x.x, 192.168.x.x
3.2.5.3 – Network Address Translation
54
Segurança Informática / ISTEC - 19/20
* Cenário NAT:
• NAT utiliza address translation table para efectuar mapeamento de
endereços privados/públicos
3.2.5.3 – Network Address Translation
Address Translation Table
Firewall
55
Segurança Informática / ISTEC - 19/20
NAT dinâmico IP Masquerading:
* Objetivo: esconder rede privada por detrás de endereços públicos dasua gateway
* Alteração dinâmica por gateway de endereços de origem e portos nosfluxos de pacotes de saída da rede
• Quando pacote interno passa por gateway para um destino exterior, esta efetua a conversão:
– [IP Privado: Porto Privado] => [IP Público: Porto Público]
– Relação “IP Privado/IP Público” pode variar para cada ligação
• Para IP Público poder ser o mesmo para todas as comunicações => usar PAT: Port Address Translator
• Gateway guarda a tradução que efetuou em Address Translation Table:
– Poder direccionar respostas vindas do exterior para o seu verdadeiro destino da rede interna, com base em informação da tabela de tradução
3.2.5.3 – Network Address Translation
56
Segurança Informática / ISTEC - 19/20
56
H1
private address: 10.0.1.2
Private network
Source = 10.0.1.2
Source port = 2001
Source = 128.143.71.21
Source port = 2100
NAT
device
Private
Address
Public
Address
10.0.1.2/2001 128.143.71.21/2100
10.0.1.3/3020 128.143.71.21/4444
H2
private address: 10.0.1.3
Source = 10.0.1.3
Source port = 3020
Internet
Source = 128.143.71.21
Destination = 4444
128.143.71.21
3.2.5.3 – Network Address Translation
* Cenário IP Masquerading com PAT:
Address Translation Table
Terminais H1 e H2 partilham
o mesmo endereço público, mas
com portos diferentes
Firewall
Source port
57
Segurança Informática / ISTEC - 19/20
NAT estático Port Forwarding:
* Objetivo: esconder servidores privados e topologia da rede por detrás deendereço público da sua gateway
* Alteração estática por gateway de endereços de destino nos fluxos depacotes de entrada para acesso a servidor no interior da rede:
• São definidas combinações: [IP Público GW: Porto Serviço]
• O mesmo endereço IP público poderá ser usado para endereçar diferentes servidores de diferentes serviços, com o porto do mesmo
• Quando pacote externo passa por gateway para o servidor interno, esta efetua a conversão:
– [IP Público: Porto Serviço] => [IP Privado: Porto Serviço]
• Todos os acessos externos ao servidor deverão ser direccionados para um determinado endereço privado [IP Privado: Porto Serviço] dentro da rede protegida:
– Ex. servidor HTTP: 192.168.0.61:80
• Endereço interno do servidor nunca é do conhecimento dos clientes externos
– Endereço interno poderá ser alterado de forma transparente para o exterior
– O mesmo serviço pode ter vários servidores na DMZ, podendo os pedidos do exterior ser distribuídos pelos mesmos de forma transparente para o exterior
3.2.5.3 – Network Address Translation
58
Segurança Informática / ISTEC - 19/20
NAT estático:
3.2.5.3 – Network Address Translation
O mesmo endereço IP público poderá ser usado para endereçar diferentes servidores de diferentes serviços no interior da rede protegida
DMZ
O mesmo serviço pode ter vários servidores na DMZ, podendo os pedidos do exterior ser distribuídos pelos mesmos de forma invisível para o exterior topology hidden
Firewall
59
Segurança Informática / ISTEC - 19/20
* Exemplo de Firewall + NAT: IPTables
• Software integrado no SO Linux (modulo netfilter)
• Filtros de pacotes dinamico:
– com base em analise de cabeçalho IP, TCP e/ou MAC address
• Suporte a NAT
• Suporte a monitorização de pacotes
• Firewall de software bastante completa que pode ser usada em qualquer
hardware (terminal) com:
– SO Linux
– 2 interfaces de rede (no mínimo)
3.2.5.4 – Caso de estudo: IPTables
60
Segurança Informática / ISTEC - 19/20
Sistemas de Deteção de Intrusões (IDS: Intrusion Detection System)
* Objetivos dos IDS:
• Deteção de atividades anormais que possam ser tentativas de intrusão:
– Tentativas de acesso (externo ou interno) não autorizado a recursos da rede
protegida, por análise de tráfego recolhido na rede => possibilidade de comprometer
a integridade, confidencialidade ou disponibilidade de um recurso
• Notificação e registo de tentativas de intrusão, que poderão ser
acompanhadas de:
– Medidas reativas à detecção de intrusões
– Aprendizagem de medidas para evitar repetição c\ sucesso das mesmas intrusões
* Funcionamento dos IDS:
• Mecanismo (componentes de HW e/ou SW) para monitorização de tráfego na
rede protegida => recolha, análise, notificação, reação e aprendizagem
• Complementam Firewalls (FW):
– Além do tráfego externo, podem monitorizar o tráfego interno
– Não impedem ataques, mas geram notificações/comprovativos
– Ataques internos são menos prováveis, mas têm mais facilidade em causar danos
3.2.6 – IDS
61
Segurança Informática / ISTEC - 19/20
Perfil de uma Intrusão:
* O desenvolvimento de um IDS deve ter em conta a capacidade de
reconhecer o perfil de uma tentativa intrusão, que pode corresponder a
alguns dos seguintes passos:
1. Atacante tenta identificar a topologia da rede a atacar
– Identifica sistemas de proteção: Firewall e IDS
2. Atacante tenta reconhecimento interno para identificar
vulnerabilidades específicas da rede e máquina alvo:
– Grande probabilidade de atacante originar tráfego “suspeito” para
este reconhecimento => deverá ser registado em logs
• Ex. tentativa de acesso a conteúdo de servidor DNS
3. Atacante tira partido de vulnerabilidades identificadas, ex.:
– Efetuar intrusão bem sucedida a uma máquina “legitima” (tb
pode ser alvo) para a usar como base para o ataque aos alvos
– Usar uma conta de um utilizador “legítimo” cujas credenciais
consegui capturar e usar a sua identificação e permissões para
efectuar o ataque aos alvos
3.2.6.1 – Perfil de uma Intrusão
62
Segurança Informática / ISTEC - 19/20
Perfil de uma Intrusão:
4. Atacante usa intrusão para causar dano aos sistemas alvo:
– Roubo de informação importante
– Destruição de informação importante
– Alteração de informação importante
– Negação de serviços
• Grande probabilidade de atacante originar actividades
“suspeitas” para causar danos => deverão ser registadas
em logs
3.2.6.1 – Perfil de uma Intrusão
63
Segurança Informática / ISTEC - 19/20
Qualidade de um IDS:
* Métricas de qualidade em função das intrusões que são capazes de
detetar:
• Nº de intrusões verdadeiras detetadas
• Nº alarmes sem intrusão (falsos positivos)
• Nº intrusões verdadeiras sem alarmes (falsos negativos)
• Classificação de alarmes/intrusões:
– Falso positivo: alarme, sem intrusão
• Falsos positivos em demasia => desacreditam um IDS
– Falso negativo: intrusão, sem alarme
• Falsos negativos em demasia => tornam um IDS inútil, no contexto
no qual é usado
• Melhor qualidade =>
– Melhor percentagem de nº de intrusões verdadeiras detetadas
– Menor percentagem de geração de falsos negativos e falsos
positivos
3.2.6.3 – Métricas de Qualidade de um IDS
64
Segurança Informática / ISTEC - 19/20
Potes de mel (honey pots):
* Componente de IDS cujo objetivo principal é iludir o atacante:
• Conduzir atacante a atacar recursos aparentemente interessantes,
mas sem utilidade em termos de rede
• Desviar atacante de recursos organizacionais importantes
* Objetivos secundário:
• Recolha de provas de ataques (informação forense, como prova de
crime para apresentação em tribunal), exemplo:
– modo de intrusão
– rasto deixado pelo atacante
– origem de ataques
• Alimentar mecanismos de aprendizagem automática
– Ex. assinaturas de tráfego
3.2.6.4 – Honey pots
65
Segurança Informática / ISTEC - 19/20
Classificação de IDSs:
* IDSs podem ser classificados em função das diversas características
operacionais:
• Método de deteção:
– IDSs baseados em assinaturas
– IDSs baseados em comportamento
• Celeridade de deteção:
– IDSs baseados em “tempo-real” (teórico)
– IDSs baseados em tempo-real virtual (real)
– IDSs baseados em tempo à posteriori (real)
• Reatividade à deteção:
– IDSs Ativos
– IDSs Passivos
3.2.6.5 – Classificação de IDSs
66
Segurança Informática / ISTEC - 19/20
Classificação de IDSs:
• Tipo colaboração à deteção:
– Singular
– Cooperativa
• Fonte de eventos capturados:
– IDSs baseados em terminais: H-IDS (Host based IDS)
– IDSs baseados em redes: N-IDS (Network based IDS)
3.2.6.5 – Classificação de IDSs
67
Segurança Informática / ISTEC - 19/20
IDSs baseados em assinaturas (ou conhecimento):
* Efetuam analise de atividades do sistema para procura de padrões de
ataques conhecidos assinaturas. Exemplos:
• Assinatura de TCP SYN flood ausência excessiva de TCP ACKs
• Assinatura de um vírus existência de strings conhecidas no
código do SW malicioso
– Programa de Anti-vírus IDS baseado em assinaturas
* Desvantagens de IDSs baseados em assinaturas:
• Só detetam ataques conhecidos
• Necessitam de uma base de dados de assinaturas sempre
atualizada
3.2.6.5 – Classificação de IDSs
68
Segurança Informática / ISTEC - 19/20
IDSs baseados em comportamento (ou anomalias):
* Procuram definir um padrão de comportamento normal de um sistema
• Deteção de desvios abruptos a esse comportamento Intrusões
• Requer normalmente que o sistema passe por um período de
aprendizagem para construção de padrão de normalidade =>
utilização de técnicas:
– Inteligência artificial
– Análise e modelação estatística
* Vantagens:
• Mais abrangentes, mas menos precisos do que IDSs baseados em
assinaturas
– Deverão conseguir inferir e detectar ataques desconhecidos (da fase de
aprendizagem)
* Desvantagens:
• Dificuldade no ajuste do grau de sensibilidade do sistema
• Dificuldade em definir modelos robustos e estáveis, que consigam
detectar todos os novos tipos de intrusões
3.2.6.5 – Classificação de IDSs
69
Segurança Informática / ISTEC - 19/20
IDSs baseados em celeridade de deteção de intrusões:
* IDSs baseados em “tempo-real” (teórico):
• Detetam ataques no instante em que estes estão a ocorrer e
adotam medidas reativas imediatas para tentar evitar sucesso de
ataques:
– Comportamento “irrealista” de obter na maioria dos casos
– Necessário uso de servidores com grande capacidade de
processamento
* IDSs baseados em tempo-real virtual:
• Detetam intrusões pouco tempo depois dos respetivos ataques
ocorrerem => necessitam de tempo para análise de dados
– Tipo de deteção mais “realista”
* IDSs baseados em análise posterior:
• Apenas deteta intrusões após análise de registos de atividades
(logs)
– Método usado por técnicas de auditoria
3.2.6.5 – Classificação de IDSs
70
Segurança Informática / ISTEC - 19/20
IDSs baseados na reatividade à deteção de intrusões :
* IDSs passivos:
• Apenas produzem relatórios e alarmes para análise dos
administradores dos sistemas ou rede
* IDSs activos (IPS: Intrusion Prevention System):
• Capazes de reagir de forma automática a ataques e intrusões,
aplicando políticas de:
– Defesa:
• Isolamento de componentes comprometidos
• Ativação de substitutos de componentes comprometidos
• Redução da largura de banda para redução de efeitos de ataques
baseados em inundação
– Contra-ataque, tão ilegal como ataque e com riscos:
• Possibilidade de atacante ter identidade falsa
• Possibilidade de atacante usar máquina trampolim e não a sua
própria
3.2.6.5 – Classificação de IDSs
71
Segurança Informática / ISTEC - 19/20
IDSs baseados no tipo de colaboração à deteção de intrusões:
* IDSs singulares:
• Atuam de forma isolada
* IDSs cooperativos:
• Cooperam entre si de modo a melhorar a capacidade de deteção
• Conseguem maior eficácia na detecção e reacção a intrusões
– Dados capturados em sniffers colocados em diferentes locais
da rede podem ser correlacionados:
• Ex. possibilidade de detectar eventuais aumentos na
latência de fluxos de dados => poder indiciar
redireccionamento de tráfego para um terminal atacante
(ex. MAC spoofing)
3.2.6.5 – Classificação de IDSs
72
Segurança Informática / ISTEC - 19/20
* IDSs baseados na fonte de eventos capturados:
• IDSs baseados em terminais: H-IDS (Host based IDS)
– Analisam as configurações correntes do respectivo terminal
• Ex. alterações “anormais” de atributos de ficheiros de
Sistema Operativo
• IDSs baseados em redes: N-IDS (Network based IDS)
– Analisam o tráfego e podem detetar intrusões num determinado
ponto da rede
• Ex. ataques explorando vulnerabilidade de protocolos
• IDS Híbridos: usam ambos os tipos H-IDS + N-IDS
3.2.6.5 – Classificação de IDSs
73
Segurança Informática / ISTEC - 19/20
Requisitos para soluções de segurança nas comunicações na internet:
* Autenticação de entidades
* Confidencialidade dos dados transmitidos
* Controlo de integridade de dados transmitidos
* Gestão de chaves de criptografia
Segurança implementada ao nível da rede =>
* “Dispensar” soluções de segurança ao nível das
camadas superiores
• Evitar custo de desenvolvimento/aquisição
• Evitar peso computacional de programas de segurança ao nível da
camada de aplicação => menor desempenho da aplicação
* Invisível para Aplicações e Utilizadores
4.1 – Soluções de Segurança
74
Segurança Informática / ISTEC - 19/20
* Serviços de segurança disponibilizados por protocolos de segurança:
• Autenticação:
– Usando algoritmos de cifra assimétrica:
• Alice e Bob utilizam um pares de chaves (KAB =/= KBA):
• Codificação => Alice usa chave Publica (não secreta) de Bob
• Descodificação => Bob utiliza a sua chave Privada (secreta)
• Confidencialidade:
– Usando algoritmos de cifra simétrica:
• Alice (envio) e Bob (receção) utilizam as mesmas chaves (KAB
= KBA) para codificação e descodificação de mensagens
• Controlo de Integridade e autenticação de origem de dados:
– Usando MACs (Message Authentication Code)
• Usando chave simétrica/secreta
4.1 – Soluções de Segurança
75
Segurança Informática / ISTEC - 19/20
* MACs (Message Authentication Code):
• Código para autenticação e controlo de integridade de mensagem,
obtido a partir de:
– conteúdo da mensagem
– de chave simétrica/secreta partilhada por emissor e recetor
4.1 – Soluções de Segurança
Exemplo de MAC:
MD5: Message
Digest 5
76
Segurança Informática / ISTEC - 19/20
Secure Socket Layer (SSL) / Transport Layer Security (TLS)
* SSL:
• Desenvolvido pela Netscape em 1995
• Objetivo: estabelecer sessões seguras (autenticadas + encriptadas +
controlo de integridade) entre navegadores (browsers) e servidores
• Implementado na camada de sessão (C5) para fornecer serviços de
segurança à camada de transporte (C4), onde residem TCP e UDP
• IETF (Internet Engineering Task Force) em 1999 normaliza SSL v3
– SSL v3.0 TLS v1.0
* TLS:
• TLS v1.0, definido no RFC 2246, derivado de SSL v3.0
• TLS v1.1, definido no RFC 4346 (2006)
• TLS v1.2, definido no RFC 5246 (2008)
• TLS v1.3, definido no RFC 6066 (2018)
* Atualmente disponível na maioria dos browsers e servidores web
* Ao longo das aulas iremos usar a terminologia SSL/TLS
4.2 – SSL/TLS
77
Segurança Informática / ISTEC - 19/20
* Conceito de Ligação:
• Transporte isolado de uma quantidade de informação entre duas
entidades comunicantes:
– Relação peer-to-peer
– Ligação temporária (geral/ de curta duração)
– A cada ligação corresponde uma sessão
* Conceito de Sessão:
• Associação duradoura (maior duração) entre 1 cliente e 1 servidor:
– Estabelecida pelo handshaking do protocolo TLS (orientado à
ligação)
– Uma sessão pode ter múltiplas ligações/canais de comunicação
– Uma sessão é caracterizada por um conjunto de parâmetros de
segurança que se aplicam a todas as ligações dessa sessão
• Evitar necessidade de negociar parâmetros de segurança
para cada ligação separada
4.2.2 – Conceito de Sessão
78
Segurança Informática / ISTEC - 19/20
* SSL/TLS definido por um conjunto de protocolos:
4.2.3 – Protocolos SSL/TLS
* S/MIME (Secure/Multipurpose Internet Mail Extensions)
Protocolos de segurança que podem ser
Incluídos nas aplicações:
* PGP: Pretty Good Privacy
79
Segurança Informática / ISTEC - 19/20
Protocolos de SSL/TLS:
* Protocolo Handshake (aperto de mão):
• Autentica as entidades em comunicação
– Possibilidade de usar diferentes tipos de autenticação:
• Interação anónima: c\ partilha de chave, ex. Diffie-Hellman
• Geração de chave secreta entre 2 entidades comunicantes
• Uso de Certificados (+ seguro): que autenticam servidor ou
cliente&servidor e possibilitam o transporte de chaves de encriptação
• Exemplos de certificados digitais em browser/cliente usados em
comunicações seguras:
4.2.3 – Protocolos SSL/TLS
80
Segurança Informática / ISTEC - 19/204.2.3 – Protocolos SSL/TLS
Geração de chave secreta entre 2 entidades comunicantes:
* Algoritmo Diffie–Hellman:
1) Escolha de cor comum
2) Escolha de cor secreta
3) Mistura de cores 1+2
4) Transmissão de mistura
5) Chave Secreta =
mistura recebida em 4) + 2)
81
Segurança Informática / ISTEC - 19/20
* Protocolos de SSL/TLS:
• Protocolo de Registos:
– Controla confidencialidade e integridade de dados
– Controla autenticação de origem da informação
– Controla o transporte de dados do servidor para o cliente e vice-
versa. Exemplo de procedimentos na transmissão (na receção
são efetuados os inversos):
1. Fragmentação de dados em blocos
2. Compressão de blocos
3. Calcula e adiciona MAC a cada bloco, usando algoritmo e
chave de encriptação definidos em Handshake
4. Encripta bloco com MAC (criptograma), usando algoritmo
e chave de encriptação definidos em Handshake
5. Entrega de criptograma a TCP (camada 4) para serem
transmitidos para a rede
4.2.3 – Protocolos SSL/TLS
82
Segurança Informática / ISTEC - 19/20
* Protocolos de SSL/TLS:
• Protocolo de Alerta:
– Utilizado para envio de mensagens de notificações entre as
duas entidades comunicantes, para informação de cenários de
erro
• Ex. falha na descompressão de um bloco
• Protocolo de Mudança de Cifra (Cipher Change):
– Utilizado para possibilitar mudança de chaves de encriptação na
transmissão de blocos de uma ligação de uma sessão
4.2.3 – Protocolos SSL/TLS
83
Segurança Informática / ISTEC - 19/204.2.4 – Protocolos de serviços com SSL/TLS
Exemplos de protocolos de serviços que utilizam SSL/TLS:
* SMTP + SSL/TLS = SSMTP
• SMTP usa porto 25, SSMTP usa porto 465
* POP3 + SSL/TLS = SPOP3
• POP3 usa porto 110, SPOP3 usa porto 995
* HTTP + SSL/TLS = HTTPS
* HTTP usa porto 80, HTTPS usa porto 443
• Utilizado em browsers no acesso a sites que utilizam informação
confidencial, ex:
– Webmail
– Home banking
• Browsers fornecem indicação sobre o seu uso:
– URL iniciado em “https://”
– Cadeado fechado
84
Segurança Informática / ISTEC - 19/20
• Campos de cabeçalho IP v6:
* Versão - Garantir compatibilidade entre diferentes versões (ex. IP v4)
* Classe de Tráfego – Diferenciar classes de serviços de aplicações
* Label de Fluxo – Gestão de QoS de diferentes fluxos de pacotes
* Suporte a serviços com modo de transmissão orientado à ligação
* Comprimento de Dados – nº de octetos de dados (max. 64k)
* Próximo Cabeçalho – Possibilita a utilização de múltiplos cabeçalhos
encadeados, cada um com uma funcionalidade específica, exemplos:
* Cabeçalhos AH e ESP de IPSec
* Cabeçalho de Fragmentação
* Cabeçalho de Camada Superior: TCP ou UDP
* Limite de Transmissões - Contador de transmissões (~ TTL IP v4)
* Decrementado em cada transmissão entre routers
4.3 – Protocolo IPSec
85
Segurança Informática / ISTEC - 19/20
Funcionalidades de IPSecurity (IPSec):
* Estabelecimento de SAs (Security Association) entre 2 entidades
* Garantia de autenticidade e integridade da informação, ao nível do IP:
1. Garantir que a fonte do pacote é de fato a indicada no cabeçalho
2. Garantir que o pacote não foi alterado durante a transmissão
=> Inserção de cabeçalho de Autenticação (AH: Authentication
Header) para garantir 1. e 2.
* Garantia de confidencialidade e integridade, ao nível do IP:
• Garantir que nenhuma 3ª entidade maliciosa consiga
ler/compreender ou alterar os dados transmitidos nos pacotes IP
=> Inserção de cabeçalho de segurança de dados/conteúdo
encapsulado (ESP: Encapsulation Security Payload)
* Suporte a dois modos de operação:
• Modo Transporte: proteção de dados do utilizador (payload)
• Modo Túnel: proteção de todo o pacote
* Possibilidade de usar protocolo IP Payload Compression (IPComp)
para compressão de dados
4.3.1 – Funcionalidades do IPSec
86
Segurança Informática / ISTEC - 19/20
Associações de Segurança (SA: Security Association) :
* Conjunto de regras e parâmetros que possibilitam o estabelecimento
de uma comunicação segura IPSec (autenticada+encriptada) entre 2
máquinas comunicantes:
• Regras de segurança acordadas:
– Algoritmo de encriptação (ESP)
– Algoritmo de autenticação (AH)
• Parâmetros relevantes especificados:
– Identificador de SA: Security Parameter Index (SPI)
– Parâmetros de autenticação e encriptação:
• Chaves de cifra a usar
• Vetores de inicialização
– Endereço IP destino
– Modo do protocolo: túnel ou transporte
– Nºs de sequência para controlo de ordem de pacotes
transmitidos
4.3.2 – Associações de Segurança (SA)
87
Segurança Informática / ISTEC - 19/204.3.4 – Cabeçalho de Segurança de Dados (ESP)
Filtro: ESP* Exemplo IPSec/ESP em Wireshark:
Dados encriptados
88
Segurança Informática / ISTEC - 19/20
* Modo Transporte: proteção de dados do utilizador (payload):
4.3.5 – Modos de Operação
Enchimento
+trailer ESP
89
Segurança Informática / ISTEC - 19/20
* Modo Túnel: proteção de todo o pacote:
4.3.5 – Modos de Operação
Enchimento
+trailer ESP
“ “ (sem encriptação)
90
Segurança Informática / ISTEC - 19/20
Objetivos das VPN (Virtual Private Network):
* Possibilitar interligação de redes privadas através de canais de
comunicação seguros e virtualmente dedicados de redes públicas
(inseguras):
• Segurança suportada por mecanismos de criptografia (ex. IPSec)
* Possibilitar o acesso remoto a serviços internos de uma rede
privada
* Possibilitar satisfazer requisitos de mobilidade com suporte de uma
rede de comunicação global (internet)
4.4 – VPN
91
Segurança Informática / ISTEC - 19/20
* Configurações das VPNs:
• Uso de modo de Túnel:
• Suportada por 1 de diferentes protocolos de segurança:
4.4 – VPN
Aplicação
Apresentação
Transporte
Rede
Ligação de Dados
Física
Sessão
IPSec (bastante usado para acessos remotos a rede corporativa)
SSL/TLS (+ usado em comunicação de browsers de cliente <-> servidor)
PPP (Pont-to-Point Protocol) sob SSL ou SSH (Secure Shell),
L2TP (Layer2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol)
Protocolos de C2 actual/ menos usados
92
Segurança Informática / ISTEC - 19/204.4.1 – VPN sobre IPSec
SA Remoto->Rede
SA Rede->Remoto
Cliente
Remoto
93
Segurança Informática / ISTEC - 19/20
Redes sem Fios (wireless networks)
* Caraterizadas por usarem o ar como meio de transmissão
• Meio de transmissão não guiado => sinal difundido por uma
determinada área
– Comunicações publicas => facilitar a entrega da mesma comunicação a
vários utilizadores, ex. serviços de rádio e TV
– Comunicações privadas => possibilitar interceção de comunicações por
3ºs, que não apenas o destinatário da mesma
* Meio de transmissão com ritmos de transmissão médios em
crescimento, mas inferiores a cobre/fibra
* Meio de transmissão apropriada para os seguintes cenários :
• Suporte à mobilidade dos utilizadores
• Locais públicos para ligações temporárias
• Comodismo para utilizadores residenciais
• Locais de difícil (económica e/ou geográficamente) instalação de cablagem
• Poupança de cablagem
• Instalações temporárias
5.1 – Introdução às Redes sem Fios
94
Segurança Informática / ISTEC - 19/205.1 – Introdução às Redes sem Fios
* Espectro Eletromagnético usados nas redes sem fios:
• Diferentes redes e serviços distribuídos por diferentes frequências
• + Velocidade de Transmissão => + Frequência => + Atenuação do sinal =>
- alcance do sinal
Hz = Hertz = Ciclos por Segundo + Frequência
95
Segurança Informática / ISTEC - 19/205.2 – Redes Wi-Fi
Associação a uma rede Wi-Fi:
* Após autenticação e associação à rede => STA poder enviar e
receber tramas de AP
* STA efetua pedidos de acesso ao meio para utilização de períodos de
tempo atribuídos por AP (NAV)
* Formato de tramas para transmissão de dados
Frame Control: contem info. de controlo de trama, como versão de 802.11 e método de encriptação
Duration ID: Valor em µs de NAV de trama
Sequence Control: contem “Fragment Number field” e “Sequence Number field”, para controlo de
fragmentação de tramas
MAC AP: MAC endereço de router wireless
6
MAC
(usado em interligação
s\ fios de AP’s)
APAP
96
Segurança Informática / ISTEC - 19/205.3 – WEP
Protocolo de encriptação RC4:
* Procedimento de desencriptação de dados a transmitir:
1. Trama recebida e separado o VI do criptograma
2. Combina-se o VI com a chave secreta e inicializa-se o RC4
3. Usa-se output do RC4 para decifrar o criptograma para obtenção de
dados e CRC32
4. Verifica-se se CRC32 recebido é o mesmo que o obtido
– Se sim => trama recebida sem erros
1)
2)
3)
4)
97
Segurança Informática / ISTEC - 19/205.3 – WEP
Vulnerabilidades de WEP:
1. Inexistência de mecanismo de geração de diferentes chaves WEP:
• Cada STA usa sempre a mesma chave para se ligar à rede
• Todas as STAs usam a mesma chave de 24 ou 104 bits
• VI curto (24 bits), não encriptado e previsível (igual ou incrementado/pacote)
• Não necessário conhecer chave secreta para decifrar mensagens
– Se forem capturados vários criptogramas com o mesmo VI =>
• Basta reconhecer mensagem limpa de um deles para poder
decifrar todos os restantes criptogramas, ex. detetar “TCP
ACK”, por tamanho de mensagens
• Basta conhecer sequência pseudo-aleatório => não é
necessário conhecer chave secreta
98
Segurança Informática / ISTEC - 19/205.3 – WEP
1. Inexistência de mecanismo de geração de diferentes chaves WEP:
* Exemplo: ataque por conhecimento de texto limpo
1. Atacante envia mensagem de rede fixa para vitima em STA
2. AP encripta mensagem e encaminha-a para STA
3. Atacante captura mensagem encriptada e compara-a com a
mensagem não encriptada
=> Atacante obtém chave com a sequência pseudo-aleatória
(keystream)
1) 2)
3)
99
Segurança Informática / ISTEC - 19/205.3 – WEP
Vulnerabilidades de WEP:
2. Controlo de integridade fraco
• Usado método CRC-32
– função linear (not hash):
• CRC32 (P Xor C) = CRC32(P) Xor CRC32 (C)
• CRC32 é fácil de calcular
• Possibilidade de alterar bits do criptograma e do CRC da
mensagem de modo a que o recetor não detete a alteração
na mensagem
• Facilitar alteração maliciosa do conteúdo das mensagens
100
Segurança Informática / ISTEC - 19/205.3 – WEP
Vulnerabilidades de WEP:
3. Facilitar injeção e redireccionamento de tramas
1. Estação atacante ilegítima (rogue = vampira) captura tramas que vão para
STA1 (Trama1)
2. Atacante altera IP destino (e CRC-32 para garantir coerência, tal como
descrito na vulnerabilidade 2) para servidor na internet sob o seu controlo
3. Atacante reenvia trama alterada para AP, para este reencaminhar o
respetivo pacote decifrado (pelo AP) para servidor por si controlado (com
maior capacidade de armazenamento e processamento de dados do que
STA rogue)
101
Segurança Informática / ISTEC - 19/205.3 – WEP
Vulnerabilidades de WEP:
4. Esquema de autenticação fraco:
• Em virtude da vulnerabilidade 1., se atacante conseguir escutar um
processo de autenticação =>
– Consegue obter a sequência pseudo-aleatória gerada por RC4
para determinado VI
– Atacante poderá autenticar-se sem saber chave WEP
• Responde a desafio com “pseudo random” construído com
base em VI lido =>
“pseudo random” Xor “Nº aleatório”
102
Segurança Informática / ISTEC - 19/205.4 – WPA
Wi-Fi Protected Access (WPA):
* Protocolo especificado por Wi-Fi Alliance em 2003 para colmatar
as vulnerabilidades de WEP:
• Wi-Fi Alliance é entidade criada em 2002 para especificar
normas a usar por equipamentos e produtos 802.11
* Principais diferenças para WEP:
• Diferentes chaves para autenticação, encriptação e integridade
• Encriptação de dados com recurso a chaves temporárias TKIP e
algoritmo RC4
– TKIP: Temporal Key Integrity Protocol
• Autenticação com base em protocolos EAP (Extensible
Authentication Protocol) ou PSK (Pre Shared Key)
– Possibilidade de autenticação via servidor (EAP) e mútua entre
STAs e APs
• Controlo de integridade com recurso a algoritmo MIC (Message
Integrity Code)
– Uso de função de síntese (hash)
103
Segurança Informática / ISTEC - 19/205.4 – WPA
* Resumo de WPA:
104
Segurança Informática / ISTEC - 19/205.4 – WPA
Autenticação com PSK:
* Protocolo de autenticação baseada na verificação directa e nos 2
sentidos da identidade da outra entidade da mesma comunicação
* Uso de chave secreta previamente disponibilizada a todas as STAs e AP
• Ex. usado em redes residenciais
* Uso de four-way-key handshake com autenticação mútua (STA/AP)
• Autenticação baseada na partilha de uma chave Secreta (KAB = KBA)
A
RA
KBA(RA)
Alic
e
Bob
1
RB
2
KAB(RB)3
2
1
Bob autentica Alice
Alice autentica Bob
ok4
B
3
ok4
Se D(Kab(Rb)) = Rb => ok
A autenticada
Se D(Kba(Ra)) = Ra => ok
B autenticado
Ra = Nº aleatório gerado por A
Rb = Nº aleatório gerado por B
Kab(Rb) = Rb encriptado c\ Kab
Kba(Ra) = Ra encriptado c\ Kba
D(Kxy(Rz)) = Rz desencriptado
c\ chave Kxy
105
Segurança Informática / ISTEC - 19/205.4 – WPA
Autenticação com IEEE 802.1X/EAP:
* Utilização de servidor AAA (Authentication, Authorization and
Accounting)
• Autenticação e distribuição de chaves implementadas com recurso
a protocolos:
– RADIUS (Remote Authentication Dial In User Service), RFC 2865
• Protocolo de aplicação para AAA em ambiente
cliente/servidor (sobre UDP)
– Diameter, RFC 3588
• Protocolo de evolução de RADIUS (Diametro = 2x Raio)
• Maior robustez contra erros (sobre TCP ou SCTP: Stream
Control Transmission Protocol)
• Suporte a encriptação extremidade-a-extrem. (IPSec ou TLS)
• Melhor desempenho, suporte de mais funcionalidades que
o tornam mais flexivel e fácil de adaptar para uso com
novos serviços
106
Segurança Informática / ISTEC - 19/205.4 – WPA
WEP
* Distribuição manual de chaves =>
dificuldade em alterar chaves
* Sem gestão de utilizadores
* Segurança enfraquecida por
repetição de chaves na
encriptação, autenticação e
integridade
* Sem autenticação mútua
* VI curto (24 bits), repetido /
previsível
* Controlo de integridade c\
algoritmo linear (CRC)
* Uso de chave mestre concatenada
com VI
WPA
* Possibilidade de usar e renovar
um conjunto de chaves por
sessão => uso de EAP
* Gestão de utilizadores geridas
por servidor AAA => uso de EAP
* Utilização de diferentes chaves
por função de segurança
* Mesmo algoritmo de encriptação
RC4 fortalecido por uso de
chaves diferentes
* Com autenticação mútua
* VI estendido a 48 bits
* Controlo de integridade c\
algoritmo de síntese (MIC)
* Uso de chaves derivadas de
chave mestre
107
Segurança Informática / ISTEC - 19/205.5 – WPA2
Diagrama de controlo de integridade para cálculo de MIC:
* Controlo de integridade de cabeçalho e dados
Resultado:
108
Segurança Informática / ISTEC - 19/20
5.6 – Redes Celulares
Redes Celulares:
* Sistemas de comunicações sem fios que utilizam sinais rádio, com uma
determinada frequência, para o transporte da informação entre os
terminais dos utilizadores e a rede (antenas)
* Caracterizadas pela divisão da sua área geográfica de cobertura em
pequenas sub–áreas, designadas de células:
• Cada célula tem uma antena (estação base) a emitir os sinais rádio
com uma determinada frequência de comunicação
• Área de cobertura da célula definida pelo alcance dos sinais emitidos
pela antena
* Suportam a mobilidade com manutenção de conectividade dos
utilizadores com a rede:
• Permitem a manutenção de uma chamada estabelecida, aquando da
mudança de célula por um utilizador em movimento (handover)
• Necessário que células vizinhas tenham cobertura contínua
109
Segurança Informática / ISTEC - 19/20
Principais diferenças de redes celulares para redes Wi-Fi:
* Área de cobertura nacional:
• Redes Wi-Fi: área de cobertura local => redes de muito menor dimensão
* Arquitetura de rede mais complexa:
• Maior dimensão
• Orientadas para serviço de voz em comutação de circuitos
• Necessidade de garantir handover de chamadas estabelecidas entre
células vizinhas
* Inicialmente orientadas para o serviço de voz:
• Redes Wi-Fi: inicialmente orientadas para dados
* Suportam ritmos médios de transmissão inferiores
• Apenas aproximados por redes celulares 4G
• Aproximação c\ base em uso de métodos de acesso rádio já usadas em
redes Wi-Fi
* Podem complementar redes Wi-Fi:
• Redes celulares usadas em ambientes outdoor
• Redes wi-fi usadas em ambientes indoor
5.6 – Redes Celulares
110
Segurança Informática / ISTEC - 19/205.7 – Arquitetura de rede GSM (2G)
NSS (Network Switching Subsystem) – BDs de mobilidade (continuação):
* HLR (Home Location Register) – parâmetros variáveis/dinâmicos:
• localização corrente do TM, através do endereço do MSC/VLR onde o TM se
encontra registado => informação necessária para terminação de chamadas
• configuração de serviços subscritos (por exemplo, o número programado para
recepção de desvios de chamadas)
* VLR (Visitor Location Register) – base de dados dinâmica, (geralmente)
incorporada no MSC com informação temporária para monitorização da
mobilidade dos utilizadores:
• utilizadores móveis visitantes localizados na sua área geográfica (LA(s) do
VLR): nativos do operadores + roamers-in de outros operadores (estrangeiros)
• serviços a serem disponibilizados pelo respectivo MSC (obtidos de HLR)
– sempre que um TM entra numa LA (Location Area) do VLR, este informa o
respectivo HLR e requisita–lhe os serviços subscritos pelo utilizador (procedimento
de Location Update). Seguida/, o VLR de localização antiga apaga dados TM que
saiu do mesmo.
• o VLR monitoriza também o estado corrente do TM:
– se está disponível, ocupado ou desligado
– objetivo: reduzir o número de interrogações ao HLR
111
Segurança Informática / ISTEC - 19/205.7 – Arquitetura de rede GSM (2G)
NSS (Network Switching Subsystem) – Bases de Dados de Segurança:
• AuC (AUthentication Centre) – base de dados (geralmente)
incorporada no HLR, que disponibiliza os algoritmos e parâmetros de:
– Autenticação
– Encriptação
que garantem a identidade do utilizador e a confidencialidade das
chamadas
• EIR (Equipment Identity Register) – Base de dados que contém
informação da identificação (IMEI) e do estado dos telefones móveis
dos utilizadores => impossibilitar o uso indevido dos TMs:
– O EIR contém uma black list com a identificação de todos os
telefones declarados como roubados e, por isso, bloqueados
– Assim que o proprietário de um TM comunique o seu roubo, o
operador poderá coloca–lo na sua black list de modo a que o
mesmo fique indisponível para uso na sua rede
112
Segurança Informática / ISTEC - 19/205.8 – Segurança em redes GSM (2G)
Cartão SIM (Subscriber Identification Module):
* Cartão “inteligente” que armazena informação pessoal e secreta do
utilizador e está protegido contra utilização indevida pelo parâmetro PIN
(Personal Identity Number)
* Portável entre diferentes equipamentos móveis (terminais):
• Possibilita ao seu proprietário a manutenção da sua identidade para
autenticação na rede, independentemente do terminal que utilizar
* Informação pessoal consiste nos seguintes parâmetros:
• IMSI (International Mobile Subscriber Identity)
• Ki: chave secreta de autenticação, utilizada nos procedimentos de
autenticação e encriptação
• Dados pessoais do utilizador, como agenda de contactos telefónicos
* SIM calcula e armazena parâmetros dinâmicos disponibilizados pela
rede:
• Kc: chave secreta de encriptação
• TMSI (Temporary Mobile Subscriber Identity)
• LA (Location Area) corrente do TM onde está inserido
113
Segurança Informática / ISTEC - 19/205.8 – Segurança em redes GSM (2G)
Funcionalidades de segurança disponibilizadas pelo GSM:
* Autenticação da identidade do utilizador:
• Para impedir o acesso à rede a utilizadores/SIMs não autorizados, sempre que
um TM pretender aceder à mesma, a sua identificação é requisitada e
verificada/autenticada
* Confidencialidade dos dados do utilizador:
• Para proteger e garantir a confidencialidade dos dados contra intrusos, todas
as mensagens dos utilizadores transmitidas na interface rádio são encriptadas
* Verificação de identificação do equipamento (IMEI: International Mobile Equipment
Identifier):
• Para impedir a utilização de equipamento não autorizado ou roubado, o
operador pode verificar a identificação do mesmo (IMEI)
– Ex. quando o correspondente utilizador efetuar uma tentativa de chamada
* Anonimato do utilizador:
• Para impedir a identificação de um utilizador, a rede utiliza uma identificação
temporária (TMSI) nas mensagens de sinalização/controlo transportadas na
interface rádio (que não são encriptadas na interface rádio)
• O TMSI é atribuído pelo VLR, após cada procedimento de Location Update
114
Segurança Informática / ISTEC - 19/205.9 – Arquitetura de rede UMTS (3G)
* Rede Core – elementos de rede GPRS (General Packet Radio Service) 2,5G:
• Suporte à transmissão de dados em Comutação de Pacotes
• SGSN (Serving GPRS Support Node) – nó com funções de gestão de
localização e mobilidade dos utilizadores, tais como:
– processamento, encaminhamento e taxação de pacotes de dados
de/para utilizadores móveis, localizados na sua área geográfica de
serviço (RA: Routing Area)
– gestão de procedimentos de segurança dos utilizadores e rede
– pode considerar–se que o nó SGSN realiza funções semelhantes às do
MSC/VLR para tráfego PS (Packet Switch)
• GGSN (Gateway GPRS Support Node) – nó com funções de Gateway para
outras redes IP externas:
– processamento, encaminhamento e taxação de pacotes de dados
de/para outras redes
– gestão de segurança e atribuição de endereços IP a utilizadores móveis
– pode considerar–se que o nó GGSN realiza funções semelhantes às do
GMSC para tráfego PS
• SGSN e GGSN podem considerar-se routers com funcionalidades adicionais
de suporte à mobilidade dos utilizadores da rede
115
Segurança Informática / ISTEC - 19/205.9 – Arquitetura de rede UMTS (3G)
Cartão USIM (User Services Identity Module):
* “Cartão inteligente”, portável entre diferentes equipamentos móveis (terminais)
• Possibilita ao seu proprietário a manutenção da sua identidade perante a
rede, independentemente do terminal que utilizar (semelhante a SIM)
* Contém dados e procedimentos que possibilitam identificar o utilizador de forma
inequívoca e segura.
* Também usado nas redes LTE/4G
* Principais diferenças para cartão SIM (2G):
• Maior segurança
• Maior capacidade de armazenamento
USIM armazena os seguintes parâmetros:
* IMSI: International Mobile Subscriber Identity
* Ki: Chave secreta de autenticação, utilizada nos procedimentos de autenticação
e encriptação
* Dados pessoais do utilizador, como: agenda e aplicações
Uso de USIM é opcional no UMTS (mandatório no LTE)
* De modo a não obrigar os seus clientes que adquirem terminais 3G a trocarem
de SIM (GSM) para USIM (UMTS), um operador poderá possibilitar a utilização
de SIMs nos terminais 3G
116
Segurança Informática / ISTEC - 19/205.10 – Segurança em redes UMTS (3G)
Segurança e confidencialidade no UMTS:
* Os procedimentos de segurança e confidencialidade do UMTS foram baseados
nos procedimentos semelhantes do GSM, com a adição das seguintes novas
funcionalidades e melhoramento de outras já existentes:
• Algoritmo de encriptação reforçado (baseado em AES) e estendido à
interface Nó–B / RNC
– Proteger troço Nó–B / RNC por se encontrar fora das instalações do
operador
• Autenticação da rede para com o utilizador
• Encriptação e controlo de integridade e de mensagens de
sinalização/controlo dos utilizadores
• Utilização de cinco parâmetros de autenticação e encriptação (quintets) com
cartão USIM, em vez de três do GSM (triplets) com cartão SIM
117
Segurança Informática / ISTEC - 19/205.10 – Segurança em redes UMTS (3G)
Parâmetros de autenticação e encriptação (quintets):
* Criação de um novo utilizador na rede => serem atribuídos os parâmetros IMSI e Ki =>
utilizados pelo AuC para calcular os seguintes cinco parâmetros, designados por quintets, e
utilizados nos procedimentos de autenticação e encriptação
• RAND – Número aleatório de 128 bits que, em conjunto com chave Ki, quando aplicados
como parâmetros de entrada de algoritmos de autenticação e encriptação, possibilita a
geração dos restantes parâmetros do quintet.
– Tem a mesma função do correspondente RAND do GSM
• CK (Cyphering Key) – chave secreta de encriptação de 128 bits utilizada nos
procedimentos de encriptação
– Tem a mesma função da correspondente Kc do GSM (64 bits), mas pela sua maior
dimensão torna o algoritmo de encriptação mais robusto
• XRES (eXpected RESponse) – número de 32 a 128 bits, utilizado para autenticar um
utilizador para com a rede
– Tem a mesma função da correspondente SRES do GSM (32 bits)
• IK (Integrity Key) – parâmetro de 128 bits que possibilita a segurança e integridade das
mensagens de sinalização/controlo transportada entre o TM e o MSC/VLR
– Com base na IK, quer o TM, quer a rede corrente do mesmo, poderão verificar se as
mensagens de sinalização transmitidas não foram modificadas sem autorização
• AUTN (Authentication Token) – parâmetro de 128 bits que possibilita a autenticação da
rede para com o utilizador, de modo a impedir a sua ligação a Nós–B falsos
118
Segurança Informática / ISTEC - 19/205.10.2 – Encriptação em Redes UMTS c\ USIM
• Kasumi: aplicado a blocos de 64 bits c\ chave de 128 bits c\ 8 iterações em rede de Feistel (usada em DES)
(128 bits)
Output: dados encriptados
FX: Feistel X XoR de inputs de função; Sx: boxes de transposição de bits
Input: dados a encriptar
Próxima iteração FO n+1 Próxima iteração FI n+1
n=1…7 n=1…2
119
Segurança Informática / ISTEC - 19/20
Computação na Nuvem (Cloud Computing)
* A tecnologia Cloud Computing (computação na nuvem) é caracterizada
por possibilitar às organizações o acesso a recursos de software e/ou
hardware remotos (cloud), dedicados ou partilhados, físicos ou virtuais,
(geral/) via internet:
• Exemplo de recursos: CPU, storage, memória de servidores, etc
• Localização de recusursos remotos: data centers de fornecedores de serviços
na nuvem
• Exemplo de empresa pioneira fornecedora de serviços na nuvem: Amazon
(AWS: Amazon Web Services)
* Impulsionada por:
• Competitividade entre empresas => necessidade de optimizar as suas estruturas tecnológicas => +produtividade/-custos
• Evolução tecnológica:
– acessos à Internet de maior velocidade
– virtualização de plataformas
– computação distribuída
– mecanismos de segurança
6.1 – Computação na Nuvem
120
Segurança Informática / ISTEC - 19/20
Computação na Nuvem (Cloud Computing)
* Principais objetivos para fornecedores de serviços:
• Escalabilidade de recursos para satisfazer novos pedidos de (novos)
clientes:
– Redução do tempo e custos (efeito de economia de escala) para
satisfazer requisitos de clientes, relativamente ao cenário de uso de
plataformas próprias (desses clientes):
• Atribuição de recursos a novos clientes
• Expansão da capacidade atribuída a clientes já existentes
• Garantia de Segurança:
– Necessária para reduzir riscos adicionais da computação na nuvem
• Para os clientes as vantagens da computação na nuvem deverão
ser superiores a riscos de segurança da mesma
• Necessário implementar mecanismos de segurança eficazes de modo
a fiabilizar e credibilizar o uso dos serviços na nuvem
– Nível de segurança deverá ser igual ou superior ao cenário de rede
com infraestrutura própria
6.1 – Computação na Nuvem
121
Segurança Informática / ISTEC - 19/206.3 – Segurança na Nuvem
FW
FW
FW
FW
FW: Firewall
Exemplo de arquitectura de redes de nuvem:
Datacenter em rede
de nuvem
FW: Controlo
de acessos
VPN:
Comunicação
Segura
Isolamento de
recursos de
=/=s clientes
Redundância
física de
recursos
FW:Autenticação
no acesso ao DC
Autenticação
no acesso a
recursos
Clientes
122
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança da nuvem
• Segurança é o maior risco da computação na nuvem
• Nuvem rede privada partilhada e remota, geral/ acedida via internet
=> Serem tomadas medidas de segurança em conformidade
1.Garantir comunicação segura de dados privados:
– Solução => uso de VPN, mandatorio se acesso for via redes públicas
(internet) com os seguintes requisitos para os dados transmitidos:
• Autenticação, encriptação e controlo de integridade
2.Controlo de acessos a recursos na nuvem:
– Soluções =>
• Uso de Firewall de rede para controlo de acessos e
autenticação de utilizadores externos
• Garantir isolamento de recursos de diferentes clientes:
* Uso de permissões com autenticação nos acessos =>
Impedir acessos a dados privados de outros clientes
* Uso de VLANs para separação de fluxos de tráfego de diferentes
clientes entre diferentes recursos
6.3 – Segurança na Nuvem
123
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança:
3. Disponibilidade de serviços / Isolamento de falhas:
• A existência de recursos que poderão ser partilhados entre vários
clientes (ex. CPU, memória, discos) poderá potenciar que uma falha
nesses recursos afete a disponibilidade de vários clientes => efetuar
controlo rigoroso do funcionamento dos recursos
– Garantir uma resposta rápida em cenários de deteção de problemas
• Necessidade de monitorização adequada dos diversos recursos de HW
=> facilitar tarefas de trouble-shooting e minimizar impacto de problemas
– Soluções (podem ter custo adicional para cliente):
• Definição de SLAs (Service Level Agreement) em contrato c\ cliente:
* Tempo máximo tolerável de indisponibilidade de recursos
* Requisitos de desempenho/QoS (Quality of Service) de cada serviço
• Usar redundância de recursos
• Realizar backups periódicos de dados
.
6.3 – Segurança na Nuvem
124
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança:
4. Minimizar perda de Controlo:
• Em virtude de na utilização de uma infra-estrutura na nuvem o cliente
ceder necessariamente a terceiros (fornecedor do serviço) o controlo
dos seus dados/serviços:
– Ex. eliminação de informação de forma incompleta/insegura
– Solução: comprometer fornecedor no contrato
5. Cumprimento de SLAs de serviços acordados com clientes:
• Garantir bom funcionamento de serviços com maiores exigências de
desempenho:
– Ex. serviços de comunicações multimédia=>mais exigentes em termos de:
• Requisitos de QoS: ex. tráfego de media dos serviços real-time
• Capacidade de processamento: ex. transcoding
– Soluções (podem ter custo adicional para cliente):
• Uso de HW específico e de melhor desempenho, mais apropriado
para funcionalidades mais exigentes
• Monitorização da ocupação dos recursos e, se necessário, antecipar
expansões de recursos
6.3 – Segurança na Nuvem
125
Segurança Informática / ISTEC - 19/206.5 – Riscos da virtualização
Principais riscos da virtualização (adicionais os riscos da computação na nuvem)
* Partilha da infraestrutura:
• Isolamento seguro dos recursos de diferentes clientes:
– Impedir o acesso a recursos de outros clientes
Uso de descritores pré-definidos com elementos de configuração
(ex. endereços IP’s, VLANs, fluxos de comunicações)
• Eficiência na reserva e alocação de recursos para serviços de clientes:
– Impedir o incumprimento dos requisitos de QoS de serviços ou até mesmo
a falha completa dos mesmos, por má gestão de recursos partilhados
Uso de descritores pré-definidos com os requisitos de QoS de cada
VM/Serviço, ex. vCPU, vMem, vNIC
126
Segurança Informática / ISTEC - 19/206.5 – Riscos da virtualização
Principais riscos da virtualização
• Vulnerabilidades em componentes de SW, exemplos:
• Falhas de isolamento em hypervisors:
• podem ser exploradas para possibilitar o acesso ao espaço de disco e à
memória de outras máquinas/clientes
• Cross-VM attacks:
• tentativas de estabelecer canais de comunicação entre VMs (máquinas
virtuais) de diferentes clientes para facilitar o acesso a dados de forma
ilícita
* Garantir comunicação segura entre recursos de SW e HW que suportam
serviços virtualizados do mesmo cliente:
• Uso de protocolos de comunicação segura
– Ex. uso de VPN com protocolos IPSec ou TLS, mandatório nas
comunicação em troços via redes públicas e aconselhável nas
comunicações internas
• Separação de fluxos de tráfego internos de diferentes clientes com uso de
VLANs (Virtual Local Area Network)
127
Segurança Informática / ISTEC - 19/206.6 – Segurança na nuvem/IoT
Internet das Coisas / Internet of Things (IoT)
* Rede de comunicação entre dispositivos (things), onde se incluem as
comunicações:
• M2M: Machine-to-Machine
• M2P: Machine-to-Person e P2M: Person-to-Machine
* Coloca objetos/maquinas inanimados (dispositivos) a comunicar via
redes IP/Internet:
• Dispositivos contendo chips e sensores capazes de processar, armazenar e
comunicar informação
* Objetivo: satisfação dos consumidores + suporte a novas áreas de
negócio
• Impulsionadas pelo incremento da facilidade de comunicação sem
fios via internet (+ velocidade/- custos), exemplos:
– Sistemas residenciais, por exemplo, contador de electricidade que
comunica resultados de contagem para central, via rede celular (M2M)
– Dispositivos pessoais wearable, por exemplo, Smart Watch que permite
monitorizar e comunicar informações para utilizador seguidor (M2P)
128
Segurança Informática / ISTEC - 19/206.6 – Segurança na nuvem/IoT
Segurança na IoT
* IoT sujeita a todos os riscos das comunicações via internet e acessos (geral/) sem fios
* Riscos adicionais originados pela grande quantidade e variedade de novos dispositivos:
• Novos dispositivos c\ novo SW => potenciar vulnerabilidades/ataques de malware:
– Necessário usar mecanismos de segurança e upgrades periódicos de SW
• Necessário proteger informação pessoal e privada lida por dispositivos e transmitida na
cadeia IoT até servidores de analise e processamento de dados recolhidos na nuvem
Aquisição de dados Transporte de dadosAnalise de dados