Rodrigo Coutinho
IDS - tcnicas
Deteco de anomalia
y Desvio do padro comum
y Perfil de comportamento normal >> Observar atividades
conhecidas
y Se houver correspondncia, uma intruso foi detectada
IPS Rate-based
Vantagens
y Implementao simples
Desvantagens
y Dificuldade de estimar um overload
y Necessidade de conhecer a infra-estrutura a fundo
E.x. Saber o trfego normal e quantas conexes o WWW aguenta
y Requerem constantes ajustes
IPS Content-based
Honeypots
Honeynets
y Rede de honeypots. Prov cenrio mais real e coleta mais
dados
Honeypots
Criptografia
informao
Criptografia Chaves
Chave Simtrica
autenticao
y A entidade de autenticao gera chaves quando necessrio
Chave Simtrica
Vantagens
y Velocidade, por causa da simplicidade dos algoritmos
y Chaves pequenas e relativamente simples cifradores so
robustos
y Confidencialidade assegurada
Desvantagens
y Gerncia difcil da chave, que deve ser compartilhada
y No permite autenticao do remetente
y Uso de padding, quando o tamanho dos dados no mltiplo
Chave Assimtrica
acesso irrestrito
Chave Pblica
Chave Pblica
Vantagens
y A chave secreta no compartilhada
y Prov autenticao do remetente, confidencialidade,
Desvantagens
y Algoritmos mais intensivos computacionalmente (lentido)
y Requer autoridade certificadora
Criptografia Algoritmos
Criptografia Algoritmos
RC6
y ltima verso do Rivest (RC2 at 5)
y Utiliza fluxo de chaves
Criptografia Algoritmos
RSA Rivest-Shamir-Adelman
y Mtodo assimtrico
y Baseia-ne na dificuldade de fatorar nmeros grandes, com
DSA
Diffie-Hellman
Hash
Certificao Digital
(CA)
y Principais Cas no Brasil: CEF; Serpro; Certisign; Unicert
Gerenciamento de senhas
Gerenciamento de senhas
de decorar
y Verificao reativa rodar ferramentas periodicamente para
verificar se h senhas inseguras na rede. Pouco prtico
y Verificao proativa Sistema verifica aceitabilidade; prprio
usurio escolhe a senha.
VPN
VPNs usam
y Criptografia
y Autenticao
y Tunelamento
VPN - funcionamento
ao nmero IP
Tipos de VPN
y Nodo-a-nodo Cada n encripta e decripta a informao
y Fim-a-fim A informao trafega criptografada por toda a
VPN
VPN - Protocolos
PPTP
L2TP
IPSec
IPSec
IPSec - IKE
autenticao)
Relao bidirecional
IPSec
Socks
SSL
VPN Vantagens e
desvantagens
Vantagens
y Segurana uso de autenticao e criptografia
y Velocidade de deploy no necessrio esperar novo link
y Custo/benefcio Uso de linhas existentes/compartilhadas
Desvantagens
y Overhead Processamento dos pacotes e encapsulamento
y Implementao Deve ser integrado aos ambientes de rede j
VLANs
VLANs - Vantagens
VLANs - Caractersticas
em determinado instante
VLANs - Caractersticas
Tipos de ligao
y Access link a porta utilizada por uma VLAN
y Trunk link liga dois switches. Permite trfego de vrias lans
Tipos de configurao
y Esttica configurada manualmente pelo administrador
y Dinmica Portas so capazes de obter dinamicamente sua
configurao
Utiliza aplicao que faz mapeamento MAC para VLAN
VLANs - Caractersticas
VLANs - Tipos
VLANs camada 1
Operam em camada fsica para formar o grupo de
Vlans
y Por isso, so tambm conhecidas por VLANs baseadas em
portas
VLANs - Tipos
VLANs camada 2
Operam em camada de enlace para formar o grupo de
Vlans
y Logo, usam o endereamento MAC
VLANs - Tipos
VLANs camada 3
Operam em camada de rede para formar o grupo de
Vlans
y Logo, usam o endereamento IP
VLANs - VTP
Modos de configurao
y Server o switch utilizado para efetuar as alteraes de
configurao da VLAN
y Client Recebe as alteraes de um server
y Transparent No recebe alteraes de configurao de outro
switch (alteraes sero apenas locais)
y Padro switch configurado no modo server
Exerccios Aula 8
(TCU/07 Cespe) Roteadores de borda, firewalls, IDSs, IPSs e
VPNs so alguns dos principais elementos do permetro de
segurana da rede.
(MPE-AM/08 Cespe ) Os IDS podem ser embasados em rede
ou em host. No primeiro caso, inspecionam o trfego de rede
para detectar atividade maliciosa; no outro, residem no host e,
tipicamente, atuam com o objetivo de deter ataques, sem que
seja necessria a interveno do administrador.
** Os IPS detectam anomalias na operao da rede e reportamnas aos administradores para anlise e ao posterior.
(TER-TO/07 Cespe) Firewalls e IDS de rede diferem quanto
inspeo de trfego que realizam: os primeiros analisam o
contedo dos dados, enquanto os ltimos se concentram nos
cabealhos.
Exerccios Aula 8
(Pref. RB/07 Cespe) O algoritmo de encriptao DES (data encryption
standard) um algoritmo de encriptao simtrico. O DES foi
desenvolvido para competir com o RSA e utiliza chaves de 512 bits.
O algoritmo de encriptao RSA (Rivest, Shamir, Adleman) possui um
tempo de processamento superior aos algoritmos de encriptao
simtricos devido ao tamanho das chaves usadas.
Um sistema antriintruso (IDS) pode utilizar vrias tcnicas para a
deteco de intruso. Dessas tcnicas, a mais usada a assinatura, na
qual o sistema analisa o trfego da rede e procura por padres
(assinaturas) conhecidos que possam representar um ataque rede.
Em resposta a uma identificao de ataque, um sistema IDS sofisticado
pode direcionar o atacante para uma honeypot em que o atacante
monitorado e analisado e as informaes podem ser utilizadas pelo IDS.
Exerccios Aula 8
Exerccios Aula 8
(Serpro/05 Cespe) A formao de redes virtuais privadas (VPN) entre
sistemas firewall pode ser feita com o uso do protocolo IPSec, que tem
por objetivo o estabelecimento de tneis criptogrficos entre stios
confiveis, com uso exclusivo de criptografia assimtrica.
(Pref. Vitoria/07 Cespe) Os servidores Windows Server 2003 podem
ser usados em redes virtuais privadas (VPN). Uma desvantagem das
VPN que utilizam esses servidores que os dados so transferidos
nessas redes sem ser criptografados.
Certificado digital um documento eletrnico que permite acesso a
servios online com garantias de autenticidade, integridade, norepdio, alm de concesso e restrio de acesso. Certificados digitais
podem ser emitidos apenas para pessoas fsicas.
Exerccios Aula 8
(TJDF/08 Cespe) O protocolo de autenticao de cabealho AH
(authentication header) do protocolo de segurana IPSec emprega um
campo de autenticao de dados que contm um resumo, protegido por
assinatura digital, do datagrama original.
(TSE/06 Cespe) O IPSec garante o sigilo, a autenticidade e a
integridade dos dados nos pacotes IP. Para isso, usa informaes de
dois cabealhos, chamados Authentication Header e Encapsulating
Security Payload.
Em um algoritmo criptogrfico embasado em chave privada, a
segurana dos dados depende da segurana da chave. Se a chave for
descoberta, a segurana comprometida, pois os dados podem ser
decifrados.
Exerccios Aula 8