Prof.

Rodrigo Coutinho

Intrusion Detection Systems

IDS so uma segunda camada de proteo

populares nos provedores
Alarme antifurto dentro da rede ou host
IDS baseado em host
y Coleta e analisa dados de determinado computador
y Bom para preveno contra ataques internos
y Difcil escalabilidade

IDS baseado em rede

y Coleta e analisa pacotes que trafegam na rede
y Pode detectar ataques antes que aconteam
y Escalabilidade ruim em redes de alta velocidade (Gigabit)
y No verifica trfego criptografado

Intrusion Detection Systems

IDS - tcnicas

Deteco de mau uso

y Padres de intruso conhecidos
y Padres gravados >> monitorao da sequncia de eventos

>> reportar eventos matched

Deteco de anomalia
y Desvio do padro comum
y Perfil de comportamento normal >> Observar atividades

correntes >> Reportar desvios

IDS Deteco de mau uso

Tambm chamado de deteco baseada em regras

Utiliza comparaes com padres estabelecidos
y Os dados coletados so comparados com as assinaturas

conhecidas
y Se houver correspondncia, uma intruso foi detectada

Mecanismo mais utilizado na prtica

y Assinaturas so criadas para ataques conhecidos nos

diversos sistemas operacionais

y Um IDS (HW ou SW) normalmente j possui uma base de
dados de assinaturas populadas
y A base atualizada periodicamente

IDS Deteco de anomalia

Testes estatsticos usados para determinar atividade

anormal
Dados coletados de trfego legtimo dos usurios em
um determinado tempo
y A partir desses dados, o comportamento normal modelado
y Desvios a esse comportamento so monitorados
y Parte do princpio que um ataque teria comportamento muito

diferente de uma atividade normal

Intrusion Prevention System

IPS um termo novo

Em essncia, um equipamento ou software que
exerce uma funo de firewall com controle de acesso
e IDS
y Pode usar tcnicas de anlise profunda do pacote, com

reconhecimento de assinaturas e inspeo stateful

Pode trabalhar de duas formas

y Rate-based
y Content-based

Intrusion Prevention System

IPS Rate-based

Bloqueia trfego baseado na quantidade:

y Pacotes demais
y Conexes demais
y Erros demais

Vantagens
y Implementao simples

Desvantagens
y Dificuldade de estimar um overload
y Necessidade de conhecer a infra-estrutura a fundo
E.x. Saber o trfego normal e quantas conexes o WWW aguenta
y Requerem constantes ajustes

IPS Content-based

Bloqueia trfego baseado em assinaturas e anomalias

de protocolo
Pacotes TCP no usuais podem ser descartados
Comportamentos suspeitos (e.g. port scan) levam o
IPS a descartar trfego parecido depois
Oferecem uma srie de tcnicas para identificar e
tratar contedo malicioso
y Simplesmente descartar pacotes
y Descartar os futuros pacotes da mesma origem
y Reportar e alertar os administradores

Podem ser usados dentro da rede

Honeypots

Um recurso que est sendo atacado ou comprometido

na rede
Usado para rastrear atividades hacker na rede
So estrategicamente montados para imitar servios
em produo, mas sem dados reais
Nveis de comprometimento
y Baixo: Port listeners
y Mdio: Servios falsos
y Alto: Servios reais

Honeynets
y Rede de honeypots. Prov cenrio mais real e coleta mais

dados

Honeypots

Criptografia

a idia de camuflar informaes sigilosas de

qualquer pessoa que no tenha autorizao
y Em outras palavras: Assegurar a confidencialidade da

informao

Surgiu da Necessidade de usar meios no confiveis

(compartilhados ou no) para trfego de informao
sensvel

Criptografia Chaves

A informao codificada com base em determinada

funo do texto normal, aliado a uma chave
Existe uma chave para codificao e outra para
decodificao
y Chave Simtrica Code/Decode usa a mesma chave
y Chave Assimtrica chaves so diferentes

Algoritmo criptogrfico consiste em funes

matemticas

Chave Simtrica

A chave deve ser compartilhada pelas entidades que

fazem a comunicao
Difcil gerenciamento com grande quantidade de
chaves , exceto quando
y H compartilhamento de chave secreta com uma entidade de

autenticao
y A entidade de autenticao gera chaves quando necessrio

Cifragem pode ser

y Fluxo bits crifrados um a um
y Bloco cifrados conjuntos de bits
Modelo mais comum. Blocos geralmente tem tamanho prdeterminado

Chave Simtrica

Chave Simtrica vantagens

e desvantagens

Vantagens
y Velocidade, por causa da simplicidade dos algoritmos
y Chaves pequenas e relativamente simples cifradores so

robustos
y Confidencialidade assegurada

Desvantagens
y Gerncia difcil da chave, que deve ser compartilhada
y No permite autenticao do remetente
y Uso de padding, quando o tamanho dos dados no mltiplo

do tamanho dos quadros - overhead

Chave Assimtrica

O algoritmo composto por duas chaves distintas

y Chave pblica
y Chave privada (ou secreta)
y As chaves so relacionadas atravs de um processo

matemtico, usando funes unidirecionais.

Um texto cifrado com a chave pblica de X deve ser

decifrado com a chave privada de X
y Vice-versa

O conhecimento de uma das chaves no auxilia a

encontrar a outra chave
y A chave pblica, como o nome diz, de conhecimento e

acesso irrestrito

Chave Pblica

A distribuio de chaves pblicas feita atravs de

uma infra-estrutura de chaves pblicas (PKI)
PKI responsvel por:
y Associar as chaves aos respectivos proprietrios
y Validao em entidade de confiana

Chave Pblica

Chave Pblica Vantagens e

Desvantagens

Vantagens
y A chave secreta no compartilhada
y Prov autenticao do remetente, confidencialidade,

integridade dos dados e o no-repdio

y Arquitetura escalvel

Desvantagens
y Algoritmos mais intensivos computacionalmente (lentido)
y Requer autoridade certificadora

As criptografias se completam; h vantagens e

limitaes em cada mtodo

Criptografia Algoritmos

Algoritmo criptogrfico consiste em funes

matemticas
DES data Encryption Standard
y Mtodo simtrico
y Adotado pelo governo americano
y Codifica blocos de 64 bits
y Chave possui 56 bits
y Quebrado por brute-force em 1997
y TripleDES variao que usa 3 ciframentos em sequncia,

com chaves de 112 ou 168 bits.

Criptografia Algoritmos

IDEA International Data Encryption Algorithm

y Mesmo conceito do DES, mas execuo mais rpida

AES (Advanced Encryption Standard)

y Padro atual recomendado pelo NIST/EUA
y Chaves de 128, 192 e 256 bits
y Simtrico

RC6
y ltima verso do Rivest (RC2 at 5)
y Utiliza fluxo de chaves

Criptografia Algoritmos

RSA Rivest-Shamir-Adelman
y Mtodo assimtrico
y Baseia-ne na dificuldade de fatorar nmeros grandes, com

100 a 200 dgitos

y Chave pode ter 512,1024,2048.... bits

DSA
Diffie-Hellman

Hash

Funes de Hash (conhecidas tambm por Digest ou

Fingerprint) consistem em um resumo matematico de
um conjunto de bits
Entrada: Conjunto varivel de bits
Sada: Resultado de tamanho fixo
Funo verstil: utilizado em criptografia; autenticao
e assinaturas digitais
Exemplos: MD5; SHA-1

Certificao Digital

Tentativa de garantir identidade de determinada

pessoa no mundo digital
Traz a realidade do mundo de negcios real para o
virtual
y Empresas fazem transaes online

PKIs organizam a emisso de certificados digitais

y Garante e d f, validade, direito de uso, etc
y Baseada em Autoridade Registradora (RA) e de Certificao

(CA)
y Principais Cas no Brasil: CEF; Serpro; Certisign; Unicert

Gerenciamento de senhas

Primeira linha de defesa contra invasores

Usurios utilizam login e senha para acessar sistemas
y Senhas normalmente armazenadas criptografadas
y Arquivos de senha normalmente protegidos

Estudos indicam que usurios normalmente escolhem

senhas de fcil adivinhao
Para diminuir essas ocorrncias, algumas medidas
so usadas para incentivar usurios a usar senhas
mais fortes

Gerenciamento de senhas

Guias para senhas seguras

y Ter um tamanho mnimo (geralmente 6 ou 8 caracteres)
y Usar sempre letras maisculas, minsculas e nmeros
y No usar palavras comuns
y No usar datas de nascimento

Maneiras de assegurar o uso de senhas seguras

y Educao dos usurios pouco eficaz
y Gerao por computador baixa aceitao de usurios; difcil

de decorar
y Verificao reativa rodar ferramentas periodicamente para
verificar se h senhas inseguras na rede. Pouco prtico
y Verificao proativa Sistema verifica aceitabilidade; prprio
usurio escolhe a senha.

VPN

Virtual Private Network

Conexo segura, com uso de criptografia, para
trafegar dados sensveis atravs de redes de terceiros
y Redes inseguras ou Internet

VPNs usam
y Criptografia
y Autenticao
y Tunelamento

Permite interligao de escritrios fisicamente

dispersos sem uso de rede proprietria

VPN - funcionamento

A VPN pode ser implementada em diversas camadas

y A segurana da rede depende da camada aplicada
y Ex. se a VPN for realizada na camada 2, no haver proteo

ao nmero IP

Tipos de VPN
y Nodo-a-nodo Cada n encripta e decripta a informao
y Fim-a-fim A informao trafega criptografada por toda a

extenso da rede e s decriptografada no destino.

A VPN funciona como um tnel seguro em uma rede

insegura

VPN

VPN - Protocolos

PPTP Point-to-point Tunneling Protocol

L2TP Layer 2 Tunneling Protocol
IPSec
SOCKS
SSL/TLS

PPTP

Implementao Microsoft de tunelamento dentro do

protocolo PPP
Permite criao de tneis de frames PPP sobre
pacotes IP
Utiliza VPN nodo-a-nodo
Criptografia feita na camada de enlace
Segurana baseada no algoritmo MD4
y Pouco segura para os dias atuais
y H programas maliciosos que descobrem o trfego PPTP

Usa 2 conexes: Controle e Tnel

L2TP

Combinao do protocolo Cisco Layer-2 forwarding

com o PPTP
Tambm extenso do PPP
Tambm usa VPN nodo-a-nodo
Todos os roteadores rede precisam suportar para
funcionamento correto
No prov, por si, encriptao ou autenticao
y Outros protocolos so usados para tal

IPSec

Protocolo de segurana que opera na camada 3

Prov segurana para redes baseadas em IP
Protege os dados:
y Integridade, confidencialidade, autenticidade

Usa um Security Association e uma chave

y Criptografia simtrica DES, 3DES ou AES
y A chave automaticamente estabelecida e gerenciada por

hosts Ipsec usando IKE Internet Key Exchange

y Antes do estabelecimento de uma chave, o IKE autentica
IKE usa chave pblica e chave privade

IPSec

Ipsec pode funcionar de duas formas

y AH (Authentication Header)
Assegura o remetente dos dados (autenticao)
Encripta o hash
Detecta alteraes (hash encriptado)
Protege integridade e autenticidade do pacote (mas no a
confidencialidade)
y Criptografia: ESP (Encapsulating Security Payload)
Tambm encripta o hash
Prov autenticao
Encripta os dados trafegados
Protege integridade, autenticidade e confidencialidade

IPSec Modos de operao

y Modo de transporte - Fim a fim e sujeito a anlise de trfego
ESP encripta e opcionalmente autentica o payload. Header
intacto
AH Autentica o payload e alguns campos do header
y Modo de tnel Criptografa todo o pacote IP
Novo cabealho IP esconde endereos de origem e destino = mais
segurana
ESP - encripta e opcionalmente autentica todo o pacote IP
AH Autentica todo o pacote e alguns campos do novo cabealho
N-a-n protege da anlise de trfego mas menos flexvel

Base de dados Security Association (SA)

y Param: end. de destino, protocolo, chave, seq number, etc..
y Cada pacote tem um SA nico

IPSec - IKE

IKE prov modos de negociao de chaves para

comunicao via Ipsec
Podem ser usadas chaves estticas (pouco comum)
Usa PKI (chave pblica e privada)
Ocorre em 2 fases
y Fase 1 Negociar um canal seguro entre 2 ns (SA, chaves e

autenticao)
Relao bidirecional

y Fase 2 Comunicao j est segura

IPSec

Socks

Usado para trfego TCP atravs de um proxy

Prov servios bsicos de firewalls, como NAT
Evita a anlise de trfego, pois o endereo IP
verdadeiro mascarado pelo NAT
S pode ser usado com um proxy

SSL

Protocolo usado no HTTPS, para transferncia Web

de pginas seguras (transaes, em geral)
Utiliza autenticao e criptografia
y Baseada em chave pblica e chave privada

No considerado um protocolo VPN, pois comunica

apenas 2 entidades
usado tambm no SSH para comunicao terminal
segura
Usa criptografia simtrica DES, 3-DES ou AES

VPN Vantagens e
desvantagens

Vantagens
y Segurana uso de autenticao e criptografia
y Velocidade de deploy no necessrio esperar novo link
y Custo/benefcio Uso de linhas existentes/compartilhadas

Desvantagens
y Overhead Processamento dos pacotes e encapsulamento
y Implementao Deve ser integrado aos ambientes de rede j

existentes Endereos, MTU, firewalls, etc

y Pacotes encriptados no podem ser examinados
(troubleshooting, filtragem de pacotes)

VLANs

Virtual LANs separam as portas fsicas dos switches

em agrupamentos virtuais
Mais oportunidade para gerenciamento do fluxo de
dados e reduo de broadcast
Na maioria dos switches com muitas portas, no h
capacidade para throughput caso todas as portas
ativem transmisso simultaneamente
y O Switch ento agrupa as conexes, criando as Vlans
y O trfego vai sendo encaminhado usando TDM, caso a

capacidade esteja no mximo

y Logo, ele no far transmisso simultnea, mas receber o
trfego e encaminhar o mais rpido possvel

VLANs - Vantagens

Permite segmentao lgica ao invs de fsica

Trfego de broadcast limitado apenas quela VLAN
y Considere um campus inteiro com apenas 1 switch central; o

trfego de broadcast seria intenso

y Logo, cada VLAN um domnio de broadcast separado

Podem ser criadas e gerenciadas dinamicamente,

sem limitaes fsicas
Podem ser usadas para balancear trfego por grupo
O isolamento por VLANs aumenta a segurana da
rede

VLANs - Caractersticas

Mquinas de uma mesma VLAN podem estar em

vrios switches
y Da mesma forma, um switch pode estar ligado a vrias VLANs
y Cada porta do SW pode estar atribuda a apenas uma VLAN

em determinado instante

No elimina a necessidade do roteador

y Filtragem de trfego WAN
y Encaminhamento de trfego em redes separadas
y Para cada VLAN, necessrio ter ligao com o roteador,

para encaminhamento dos pacotes

VLANs - Caractersticas

Tipos de ligao
y Access link a porta utilizada por uma VLAN
y Trunk link liga dois switches. Permite trfego de vrias lans

Tipos de configurao
y Esttica configurada manualmente pelo administrador
y Dinmica Portas so capazes de obter dinamicamente sua

configurao
Utiliza aplicao que faz mapeamento MAC para VLAN

y Frame tagging mtodo que permite encaminhamento de

pacotes entre switches at o destino

Usa padro 802.1q

VLANs - Caractersticas

VLANs - Tipos

VLANs camada 1
Operam em camada fsica para formar o grupo de
Vlans
y Por isso, so tambm conhecidas por VLANs baseadas em

portas

Parte do princpio que os computadores mais

prximos estaro sempre em portas prximas dos
switches
y Approach bastante tradicional em LANs
y Nem sempre o mais efetivo

VLANs - Tipos

VLANs camada 2
Operam em camada de enlace para formar o grupo de
Vlans
y Logo, usam o endereamento MAC

Pode-se atribuir grupos por endereos MAC,

independentemente da porta de conexo
y Facilidade de gerenciamento, quando, por exemplo, da

mudana de lugar fsico da estao

VLANs - Tipos

VLANs camada 3
Operam em camada de rede para formar o grupo de
Vlans
y Logo, usam o endereamento IP

Como as redes modernas so geralmente baseadas

em IP, reduz mais ainda o tempo de gerenciamento
VLANs camada 4
Operam na camada de transporte
y Alocao ainda mais precisa da banda de rede

VLANs - VTP

VLANs Trunking Protocol

y Usado para simplificar a configurao de uma VLAN em uma

rede com vrios switches

y Propaga as alteraes aos demais switches

Modos de configurao
y Server o switch utilizado para efetuar as alteraes de

configurao da VLAN
y Client Recebe as alteraes de um server
y Transparent No recebe alteraes de configurao de outro
switch (alteraes sero apenas locais)
y Padro switch configurado no modo server

Exerccios Aula 8
(TCU/07 Cespe) Roteadores de borda, firewalls, IDSs, IPSs e
VPNs so alguns dos principais elementos do permetro de
segurana da rede.
(MPE-AM/08 Cespe ) Os IDS podem ser embasados em rede
ou em host. No primeiro caso, inspecionam o trfego de rede
para detectar atividade maliciosa; no outro, residem no host e,
tipicamente, atuam com o objetivo de deter ataques, sem que
seja necessria a interveno do administrador.
** Os IPS detectam anomalias na operao da rede e reportamnas aos administradores para anlise e ao posterior.
(TER-TO/07 Cespe) Firewalls e IDS de rede diferem quanto
inspeo de trfego que realizam: os primeiros analisam o
contedo dos dados, enquanto os ltimos se concentram nos
cabealhos.

Exerccios Aula 8
(Pref. RB/07 Cespe) O algoritmo de encriptao DES (data encryption
standard) um algoritmo de encriptao simtrico. O DES foi
desenvolvido para competir com o RSA e utiliza chaves de 512 bits.
O algoritmo de encriptao RSA (Rivest, Shamir, Adleman) possui um
tempo de processamento superior aos algoritmos de encriptao
simtricos devido ao tamanho das chaves usadas.
Um sistema antriintruso (IDS) pode utilizar vrias tcnicas para a
deteco de intruso. Dessas tcnicas, a mais usada a assinatura, na
qual o sistema analisa o trfego da rede e procura por padres
(assinaturas) conhecidos que possam representar um ataque rede.
Em resposta a uma identificao de ataque, um sistema IDS sofisticado
pode direcionar o atacante para uma honeypot em que o atacante
monitorado e analisado e as informaes podem ser utilizadas pelo IDS.

Exerccios Aula 8

(MPE-RR/08 Cespe) Tanto a criptografia simtrica quanto a assimtrica

oferecem sigilo e integridade.
A criptografia assimtrica utiliza duas chaves, uma pblica e outra
privada. Quando uma delas usada para cifrar a outra usada para
decifrar
(TCU/07 Cespe) Atualmente, os sistemas criptogrficos utilizados so
incondicionalmente seguros por se basearem na dificuldade de
resoluo de problemas matemticos especficos ou em limitaes na
tecnologia computacional vigente.
Em geral, um sistema criptogrfico impede que dados sejam deletados,
ou que o programa que o implementa seja comprometido.
Enquanto a criptografia simtrica utiliza apenas uma chave para cifrao
e decifrao, a assimtrica usa duas.
A criptografia assimtrica requer menor esforo computacional que a
simtrica.

Exerccios Aula 8
(Serpro/05 Cespe) A formao de redes virtuais privadas (VPN) entre
sistemas firewall pode ser feita com o uso do protocolo IPSec, que tem
por objetivo o estabelecimento de tneis criptogrficos entre stios
confiveis, com uso exclusivo de criptografia assimtrica.
(Pref. Vitoria/07 Cespe) Os servidores Windows Server 2003 podem
ser usados em redes virtuais privadas (VPN). Uma desvantagem das
VPN que utilizam esses servidores que os dados so transferidos
nessas redes sem ser criptografados.
Certificado digital um documento eletrnico que permite acesso a
servios online com garantias de autenticidade, integridade, norepdio, alm de concesso e restrio de acesso. Certificados digitais
podem ser emitidos apenas para pessoas fsicas.

Exerccios Aula 8
(TJDF/08 Cespe) O protocolo de autenticao de cabealho AH
(authentication header) do protocolo de segurana IPSec emprega um
campo de autenticao de dados que contm um resumo, protegido por
assinatura digital, do datagrama original.
(TSE/06 Cespe) O IPSec garante o sigilo, a autenticidade e a
integridade dos dados nos pacotes IP. Para isso, usa informaes de
dois cabealhos, chamados Authentication Header e Encapsulating
Security Payload.
Em um algoritmo criptogrfico embasado em chave privada, a
segurana dos dados depende da segurana da chave. Se a chave for
descoberta, a segurana comprometida, pois os dados podem ser
decifrados.

Exerccios Aula 8

(TJPE/07 FCC) Uma VPN uma rede

(A) privada com mltiplas localizaes interligadas por meio de uma
rede pblica.
(B) privada com mltiplas localizaes interligadas por links privados.
(C) pblica com mltiplas localizaes interligadas por links privados.
(D) pblica com mltiplas localizaes interligadas por links pblicos.
(E) pblica com mltiplas redes privadas nela interligadas.
(Cmara/07 FCC) VLAN abertas e/ou fechadas normalmente so
implementadas no modelo OSI, por dispositivos que operam na camada
(A) fsica.
(B) de rede.
(C) de enlace.
(D) de transporte.
(E) de aplicao.