Embed Size (px)
Citation preview
Redes e Telecomunicações
Bruno Hott
Bruno Hott 2
O modelo de Referência de Interconexão de Sistemas Abertos
● OSI (Open System Interconnection) é um padrão para criar e usar uma rede e seus recursos.
● OSI é um modelo teórico de redes com camadas intercambiáveis. Sua beleza está no fato de que você pode projetar tecnologia para qualquer uma das camadas sem se preocupar sobre como as outras funcionam. Você só precisará garantir que cada camada se comunique com as demais, acima e abaixo dela.
Bruno Hott 3
Camadas OSI
● Camada de Aplicativo: Responsável por interagir com usuários finais. A camada de Aplicativo inclui todos os programas em um computador que interajam com a rede. Por exemplo, seu software de e-mail está incluído, já que precisa transmitir e receber mensagens pela rede.
● Camada de Apresentação: Responsável pela codificação de dados. A camada de Apresentação inclui formatos de arquivo e representações de caracteres. Do ponto de vista de segurança, a encriptação geralmente ocorre nessa camada.
● Camada de Sessão: Responsável por manter sessões de comunicação entre computadores. A camada de Sessão cria, mantém e desconecta comunicações que ocorram entre processos pela rede.
● Camada de Transporte: Responsável por dividir dados em pacotes e transmiti-los apropriadamente pela rede. Controle de fluxo e verificação de erro ocorrem na camada de Transporte.
Bruno Hott 4
Camadas OSI
● Camada de Rede: Responsável pela implementação lógica da rede. Um recurso muito importante da camada de Rede é o endereçamento lógico. Em redes TCP/IP, o endereçamento lógico toma a forma conhecida de endereços IP.
● Camada de Enlace de dados: Responsável por transmitir informações em computadores conectados à mesma rede local (LAN). A camada de Enlace de Dados usa endereços de Controle de Acesso ao Meio (Mac – Media Access Control). Fabricantes de dispositivos atribuem um endereço MAC exclusivo a cada dispositivo de hardware.
● Camada Física: Responsável pela operação física da rede. A camada Física precisa traduzir os zeros e uns binários, de uma linguagem computacional para a linguagem do meio de transporte. No caso de cabos de rede de cobre, ela deverá traduzir dados computacionais em pulsos elétricos. No caso de fibra óptica, deverá traduzir os dados em feixes de luz.
Bruno Hott 5
O modelo de Referência OSI
Bruno Hott 6
O modelo de Referência OSI
● O modelo de referência OSI permite que desenvolvedores produzam cada camada independentemente. Se escrever um programa de e-mail que opere na camada de Aplicativo, você só precisará se preocupar em levar informações para a camada de Apresentação. Os detalhes da rede que estiver usando serão irrelevantes para seu programa.
● De modo semelhante, se estiver preparando cabos na camada Física, você não precisará se preocupar com quais protocolos da camada de Rede atravessarão esse cabo, apenas deverá construir um cabo que satisfaça aos requisitos da camada de Enlace de dados.
Bruno Hott 7
Os dois Tipos de Redes:Redes Remotas (WAN – Wide Area Networks)
● Como o nome indica, WANs conectam sistemas em uma grande área geográfica. O exemplo mais comum de uma WAN é a Internet.
● A Internet conecta muitas redes independentes, o que permite que pessoas em diferentes locais se comuniquem facilmente.
● A Internet esconde os detalhes do usuário final. Quando você envia um e-mail, não precisa se preocupar com a forma como os dados se movem; apenas clica em Enviar e deixa que a rede lide com toda a complexidade.
Bruno Hott 8
Os dois Tipos de Redes:Redes Remotas (WAN – Wide Area Networks)
Bruno Hott 9
Os dois Tipos de Redes:Redes Remotas (WAN – Wide Area Networks)
● Do ponto de vista de segurança, é importante lembrar que a Internet é uma rede aberta. Portanto, você não poderá garantir provacidade de dados uma vez que eles saiam de sua rede.
● Os dados podem trafegar por qualquer caminho para chegar ao destino. Qualquer pessoa pode lê-los ao longo do trajeto.
● Felizmente, tecnologias de segurança, como encriptação, permitem que você esconda o significado de seus dados ao enviá-los pela Internet.
Bruno Hott 10
Os dois Tipos de Redes:Redes Remotas (WAN – Wide Area Networks)
● Muitas organizações usam a Internet para conectar diferentes locais. É um modo de baixo custo para conectar instalações.
● Porém você precisa garantir que considerará as questões de segurança em torno do uso de uma rede aberta como a Internet.
● Algumas organizações preferem usar de suas próprias redes privativas para conectar locais remotos. Algumas escolhem fazer isso por motivos de segurança, enquanto outras simplesmente optam pela garantida confiabilidade de redes provativas.
Bruno Hott 11
Roteadores
● Um roteador é um dispositivo que conecta duas ou mais redes e troca seletivamente pacotes de dados entre elas. Um roteador examina endereços de rede para decidir para onde enviar cada pacote
Bruno Hott 12
Tipos de Roteadores
● Roteadores de borda – Um roteador de borda está sujeito a ataque direto de uma fonte externa. Ao configurar qualquer roteador, você deverá determinar se ele será o único ponto de defesa ou se fará parte de uma defesa em multicamadas.
● Roteadores internos – Um roteador interno também pode fornecer recursos avançados para suas redes internas. Roteadores internos podem ajudar a manter separado tráfego de sub-rede. Por exemplo, um roteador interno que se situe entre a rede de um departamento de pesquisa de uma organização e a rede do restante da empresa poderá manter as duas redes separadas. Esses roteadores podem manter confidencial o tráfego dentro do departamento de pesquisa.
Bruno Hott 13
Roteadores:NAT (Network Adress Translation)
● Roteadores podem usar tradução de endereço de rede (NAT) e filtragem de pacotes para melhorar segurança.
● NAT usa um endereço IP público alternativo para ocultar um endereço IP real de um sistema.
● Um dos propósitos originais de NAT era compensar uma escassez de endereços IP. Hoje ele ajuda em segurança, ocultando o endereço IP verdadeiro de um dispositivo. Um atacante terá mais dificuldade para identificar o esquema de redes por trás de um firewall que utilize NAT.
Bruno Hott 14
Roteadores:Filtragem de Pacote
● Função de um roteador ou de um firewall e acontecerá toda vez que eles receberem um pacote de dados.
● O dispositivo compara o pacote com uma lista de regras configuradas pelo administrador de rede, que diz ao dispositivo se ele deverá permitir que o pacote entre na rede ou se deverá recusá-lo.
● NAT e filtragem de pacotes são duas boas maneiras de usar seus roteadores para ajudar a defender sua rede. Elas fornecem defesa contra ataques básicos.
Bruno Hott 15
Os dois Tipos de Redes:Redes Locais (LAN – Local Area Network)
● LANs fornecem conectividade de rede para computadores localizados na mesma área geográfica, que tipicamente se conectam com dispositivos como hubs e switches.
Bruno Hott 16
Os dois Tipos de Redes:Redes Locais (LAN – Local Area Network)
● Em muitos casos, os sistemas na mesma LAN não se protegem em relação aos outros. Isso é intencional, já que colaboração frequentemente requer conexões entre sistemas de LAN as quais você normalmente não permitiria a partir da Internet.
● Por isso, é extremamente importante ter boa segurança em sistemas localizados em sua LAN. Se um vírus infectar um sistema na LAN, e os outros sistemas não se protegerem, ele poderá se espalhar rapidamente para todos os sistemas na LAN.
Bruno Hott 17
Redes Ethernet
● Até há cerca de uma década, existiam muitos tipos diferentes de LANs. Agora, quase todas as redes passaram para uma única tecnologia, chamada Ethernet.
● Nas primeiras redes Ethernet, todos os computadores se conectavam a um único fio e tinham de disputar sua própria vez de usar a rede, o que era ineficiente.
● Hoje, as redes Ethernet utilizam uma conexão dedicada para cada sistema. Esse fio conecta cada sistema a um switch, que controla a LAN.
● O padrão Ethernet define como computadores se comunicam na rede e controla tanto a camada Física como a de Enlace de Dados. A Ethernet define como computadores usam endereços MAC para se comunicarem na rede.
Bruno Hott 18
Dispositivos de LAN: Hubs
● Hubs são dispositivos simples de rede, que contêm uma série de plugues (ou portas) nos quais você pode conectar cabos Ethernet para diferentes sistemas de rede.
● Quando o hub recebe um pacote em qualquer porta, ele automaticamente o retransmite para todas as outras portas. Desse modo, qualquer sistema conectado ao hub poderá escutar tudo que cada outro sistema comunique na rede, o que simplifica muito o trabalho do hub.
● Porém, um hub cria muito congestionamento na rede.
● Hubs também criam um risco de segurança. Se todo computador puder ver o que os outros transmitem na rede, curiosos terão facilidade para pegar todos os pacotes que quiserem.
Bruno Hott 19
Dispositivos de LAN: Switches
● Switches realizam a mesma função básica de um hub: conectar vários sistemas à rede. Porém, eles têm um importante recurso adicional: podem realizar filtragem inteligente.
● Switches conhecem o endereço MAC do sistema conectado a cada porta. Quando recebem um pacote na rede, eles examinam o endereço MAC de destino e enviam o pacote somente para a porta do sistema de destino. Este simples recurso fornece um enorme benefício de desempenho.
● Hoje em dia, switches não são mais tão caros e possuem um desempenho muito melhor.
Bruno Hott 20
TCP/IP e seu funcionamento
● Um protocolo é um conjunto de regras que controla o formato de mensagens trocadas por computadores. Um protocolo de rede controla como equipamentos de rede interagem para entregar dados pela rede. Esses protocolos gerenciam a transferência de dados de um servidor para um computador pessoal.
● TCP/IP é na realidade um conjunto de protocolos que operam nas camadas de Rede e de transporte e controla qualquer atividade pela Internet e pela maioria das redes corporativas e domésticas.
● O departamento de Defesa dos Estados Unidos desenvolveu TCO/IP para oferecer uma infraestrutura de rede altamente confiável e tolerante a falhas. Confiabilidade, e não Segurança, foi o foco.
Bruno Hott 21
TCP/IP e seu funcionamento
● O conjunto de protocolos tem muitas responsabilidades diferentes.
Bruno Hott 22
Endereçamento IP
● A camada IP contém o esquema de endereçamento em TCP/IP. Endereços IP são endereços de quatro bytes que identificam exclusivamente todos os dispositivos na rede.
● Cada endereço IP consiste em um endereço de rede e um de computador. Por exemplo, o endereço IP 192.168.10.1 é para o endereço de rede 192.168 e o endereço de computador 10.1.
● A linha divisória entre os endereços de rede e de computador pode mudar com base no modo como um administrador configura a rede. Para isso temos a máscara de sub rede.
Bruno Hott 23
Endereçamento IP:DHCP
● Como cada computador precisa de seu próprio IP, ao acompanhar atribuições de endereço pode ser muito demorado. Muitas organizações utilizam Protocolo de Configuração Dinâmica de Computador (DHCP – Dynamic Host Configuration Protocol) em uma rede para simplificar a configuração de computador de cada usuário.
● Essa prática permite que o computador obtenha sua informação de configuração dinamicamente a partir da rede.
Bruno Hott 24
Protocolo de Controle de Mensagem da Internet (ICMP – Internet Control Message Protocol)
● ICMP é um protocolo de gerenciamento e controle para IP. ICMP entrega mensagens entre computadores sobre a saúde da rede.
● Mensagens ICMP transportam informações sobre computadores que possa alcançar, além de informações sobre roteamento e atualizações.
● Duas ferramentas ICMP são ping e traceroute.
Bruno Hott 25
ICMP:ping
● O comando ping envia um único pacote a um endereço IP de destino, chamado solicitação de eco ICMP. Esse pacote é equivalente à pergunta: “Você está aí?”. o computador na outra ponta poderá responder: “Sim”.
● Atacantes usam o comando ping para identificar alvos de um futuro ataque. Devido a essa vulnerabilidade em potencial, muitos administradores de sistemas configuram os respectivos computadores para ignorar qualquer solicitação ping.
Bruno Hott 26
ICMP:traceroute
● Usa pacotes de eco ICMP para outra finalidade: identificar o caminho que os pacotes trafegam na rede.
● Atacantes podem usar ICMP para criar um ataque de negação de serviço contra uma rede. Esse tipo de ataque é conhecido como smurf, em referência a um dos primeiros programas a implementá-lo Que funciona enviando pacotes de solicitação de eco ICMP falsos para um endereço de difusão (broadcast) em uma rede, esperando que os computadores da rede respondam.
● Felizmente é muito fácil proteger contra ataques smurf configurando sua rede para ignorar solicitações de eco ICMP enviadas por broadcast.
Bruno Hott 27
Riscos de Segurança de RedeTrês categorias de Risco
● As três categorias principais de riscos de segurança de rede são reconhecimento, escuta e negação de serviço.
● Cada um tem diferentes impactos sobre a disponibilidade, a integridade e a confidencialidade de dados transportados por uma rede e pode afetar sua segurança.
Bruno Hott 28
Reconhecimento de Rede
● Reconhecimento de rede significa obter informações sobre uma rede para uso em um futuro ataque. Um atacante de rede vai desejar obter informações antes de atacar, por exemplo:
– Endereços IPs usados na rede
– Tipos de firewalls e outros sistemas de segurança
– Procedimentos de acesso remoto
– Sistemas operacionais de computadores na rede
– Deficiências em sistemas de rede.
● Você desejará se certificar de configurar sistemas para fornecer o mímino de informação possível a terceiros.
Bruno Hott 29
Escuta em rede
● Atacantes também podem querer violar a confidencialidade de dados enviados em sua rede. Se um atacante tiver acesso físico a um cabo, poderá simplesmente grampeá-lo e ver todos os dados que passarem por ele. Há algumas opções para se proteger contra esse tipo de ataque:
– Limitar acesso físico a cabos de rede.
– Usar redes comutadas. O atacante, então, verá somente informações enviadas de ou para o computador conectado ao cabo grampeado
– Encriptar dados confidenciais. O atacante ainda poderá ver a transmissão, mas não será capaz de dar sentido a ela.
Bruno Hott 30
Negação de serviço de rede
● Um atacante pode não estar interessado em ganhar acesso à sua rede. Ele simplesmente deseja impedir que você a utilize.
● Muitas empresas não poderão operar se perderem suas redes.
● Um atacante tem dois métodos principais para realizar um ataque de negação de serviço: inundar uma rede com tráfego e desligar um único ponto de falha.
● Inundar uma rede com tráfego é o método mais simples. Atacantes podem criar um ataque de negação de serviço simplesmente enviando mais dados por uma rede do que ela consegue suportar.
● Uma variação desse tema é um ataque de negação de serviço distribuído (DDoS). Nesse ataque o hacker usa muitos sistemas no mundo inteiro nos quais já tenha conseguido entrar para inundar a rede a partir de muitas direções diferentes.
Bruno Hott 31
Redes Privativas Virtuais e Acesso Remoto
● O acesso remoto tornou-se parte comum de muitas redes corporativas.
Usuários ficam em casa, mas mesmo assim ainda precisam de acesso a recursos corporativos, o que significa abrir acesso a mais recursos corporativos a partir da Internet do que os profissionais de TI gostariam.
● Redes privativas virtuais (VPNs – Virtual Private Networks) são uma boa maneira de aumentar o nível de segurança de dados transmitidos pela rede pública de dados.
● Elas normalmente usam encriptação para proteger todos os dados enviados entre um usuário e a rede da organização
Bruno Hott 32
VPN
Bruno Hott 33
VPN
● VPNs exigem que seu equipamento de passagem (gateway) tenha muito poder de processamento para lidar com os algoritmos de encriptação.
● Ao implantar uma VPN, você precisará considerar a segurança dos computadores dos usuários finais. Pois seus PCs podem ser um portal aberto aos recursos da empresa.
● Por isso, muitas organizações exigem que funcionários instalem softwares de segurança em seus computadores domésticos. Você também pode limitar o acesso por VPN a computadores que sua organização possua e gerencie.
Bruno Hott 34
VPN:Três principais tecnologias
● Protocolo de Tunelamento Ponto a Ponto (PPTP) - já foi o protocolo predominante de VPN. A maioria dos SOs inclui suporte para PPTP.
● Camada de Soquetes Seguros (SSL) – utilizada para encriptar comunicações na Web. Muitas VPNs usam SSL para fornecer comunicação encriptada. Usuários se conectam a uma página Web protegida por SSL e efetuam o acesso. Seu navegador Web, então, baixa software que os conecta à VPN. Isso não exige configuração antecipada do sistema. Por esse motivo, VPNs SSL vêm rapidamente ganhando popularidade.
● IPSec – Conjunto de protocolos projetados para conectar sites com segurança. Exige a instalação de software de terceiros e não são populares. Muitas organizações utilizam IPSec para conectar um site a outro com segurança pela Internet. A funcionalidade de VPN IPSec exigida está embutida em muitos roteadores e firewalls, permitindo fácil configuração.
Bruno Hott 35
Controle de Acesso à Rede
● Duas tarefas principais:
– Autenticação
– Verificação de postura
● O padrão IEE 802.1x descreve a tecnologia NAC mais comum. Esse padrão informa como clientes podem interagir com um dispositivo NAC para conseguir entrada na rede. Software em computadores de usuários solicita que eles acessem a rede. Após verificar suas credenciais, o dispositivo NAC instrui o switch (para uma rede com fio) ou ponto de acesso (para uma rede sem fio) a conceder ao usuário acesso à rede.
● Já a verificação de postura verifica a configuração do computador do usuário para garantir que atenda a padrões de segurança antes de permitir que ele acesse a rede. Algumas verificações incluem:
– Software antivírus atualizado
– Firewall de computador ativado
– Sistema Operacional suportado
– Sistema Operacional corrigido
Bruno Hott 36
Redes sem Fio
● O que uma rede sem fio faz para a segurança de sua rede?
● Se for muito fácil para um funcionário se conectar à rede, significa que outros também poderão se conectar?
Bruno Hott 37
Redes sem FioPontos de Acesso sem Fio (WAPs – Wireless Access Point)● Um WAP é a conexão entre uma rede com e uma rede
sem fio.
● Qualquer pessoa dentro do alcance do rádio de um WAP poderá se comunicar com ele e tentar se conectar à rede.
● Redes sem fio ampliam o alcance da rede de sua organização para além de seus limites.
● É muito mais fácil escutar uma rede sem fio do que uma rede com fio.
Bruno Hott 38
Controles de Segurança de Redes sem FioEncriptação sem Fio
● Encriptação é a forma mais eficaz de proteger sua rede sem fio, pois impossibilita que um estranho veja informações que trafeguem pela rede.
● Você deverá usar encriptação forte!
● Nos primórdios das redes sem fio, o setor desenvolveu um padrão chamado WEP (Wired Equivalent Privacy), que fornecia encriptação básica.
● Desde seu lançamento, analistas de segurança descobriram falhas significativas no WEP que o tornam inseguro. Com software livremente disponível na Web, é simples quebrar a encriptação em uma rede WEP em questão de segundos.
● Usar uma rede WEP é pior do que não utilizar encriptação nenhuma, pois dá a falsa sensação de segurança.
Bruno Hott 39
Encriptação sem FioWPA – Wi-Fi Protected Access
● Utiliza encriptação AES forte para proteger dados em redes.
● WPA é muito fácil de configurar
● Em sua forma básica, ele requer a entrada de uma chave secreta compartilhada na configuração de rede de cada computador existente na rede.
● Em formas mais avançadas você pode substituir esta chave dando a cada usuário um nome de usuário e uma senha exclusivos.
Bruno Hott 40
Sinalização SSID
● por padrão, redes sem fio difundem sua presença ao público e enviam anúnciod vom o identificador de grupo de serviço (SSID) de rede.
● Você pode impedir que sua rede se disponibilize desativando a sinalização SSID em seus pontos de acesso sem fio.
● Com a sinalização desativada, usuários que se conectem à sua rede precisarão saber que ela existe e fornecer seu nome por conta própria.
Bruno Hott 41
Filtragem de Endereço MAC
● WAPs também permitem que você aplique filtros de endereço MAC para controlar quais computadores podem se conectar à sua rede.
● Você fornece uma lista de endereços MAC aceitáveis a seu WAP e permitirá que apenas computadores aprovados se conectem à rede.
● A principal desvantagem de filtragem de endereço MAC é a complicação para mantê-la.
Bruno Hott 42
Conclusões
● Embora nenhuma rede seja totalmente segura, instalar os controles de segurança corretos pode tornar as suas mais seguras.
● O ponto principal é nunca contar com um único controle. Sempre use controles em camadas.
● Você sempre deverá presumir que um atacante esperto seja capaz de comprometer um ou mais dos controles que você instalou.
● Garantir que um atacante tenha de comprometer vários controles para chegar até seus dados é a melhor maneira de tornar sua infraestrutura de TI a mais segura possível.
