Segurança na Web Segurança na Web Cap. 4: Protocolos de Segurança Cap. 4: Protocolos de Segurança –– Parte 2Parte 2
Free Powerpoint TemplatesPage 1
Prof. Roberto Franciscatto4º Semestre - TSI - CAFW
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
• Protocolo de Segurança
• Sistemas Free/Open Source
• Exercício:
Free Powerpoint TemplatesPage 2
• No ambiente Linux, através do software GPG:
• Criar as chaves
• Exportar e importar chaves
• Assinando um arquivo qualquer
• Ler o conteúdo do arquivo
• Protocolo de Segurança
• Exercício 2
• Via Linux, realizar a seguinte tarefa, através do programa md5sum:
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 3
programa md5sum:
• inserir um hash md5 no arquivo /home/cafw/doc.txt
• criar o arquivo de hash
• verificar a integridade do arquivo
• relatar as mudanças ocorridas
• Protocolo de Segurança
• Assuntos que serão abordados nesta aula:
• L2TP
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 4
• L2TP
• IPSec
• SSH (Estudo de Caso - Completo)
• Protocolo de Segurança
• L2TP
• O que é ?
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 5
• Layer 2 Tunneling Protocol
• Protocolo para Tunelamento na Camada de Rede
• Pode ser definido como: um método para tunelamento para quadros PPP através de uma rede de comutação de pacotes
• Protocolo de Segurança
• L2TP
• O L2TP fornece:
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 6
• flexibilidade e escalabilidade do IP, permitindo que serviços de rede sejam enviados em redes roteadas IP.
• As decisões são tomadas nas terminações dos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nós intermediários.
• Protocolo de Segurança
• L2TP
• Vantagens do L2TP
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 7
• permite o transporte de protocolos que não o IP (outros protocolos dos terminais);
• mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP de forma transparente
• possibilitando serviços de VPN IP de forma bastante simples;
• Protocolo de Segurança
• L2TP
• Vantagens do L2TP
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 8
• simplifica a interação entre as redes do cliente e do provedor;
• fácil configuração para o cliente.
• Protocolo de Segurança
• L2TP
• Funcionamento do L2TP
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 9
• Protocolo de Segurança
• L2TP
• Cabeçalhos L2TP
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 10
• Protocolo de Segurança
• L2TP (Cabeçalhos L2TP)
• Identificador do túnel: identifica o túnel no sistema que desencapsula o pacote.
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 11
• Cookie: uma assinatura contendo 8 octetos, que é compartilhada entre as duas extremidades do túnel L2TP.
• Este cookie reduz as chances de que dois tráfegos sejam misturados após o desencapsulamento devido a erros de configuração;
• as assinaturas nos roteadores de origem em destino devem coincidir, ou os dados serão descartados.
• Protocolo de Segurança
• IPSec
• visa a ser o método padrão para o fornecimento de privacidade, integridade e autenticidade das informações
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 12
privacidade, integridade e autenticidade das informações transferidas através de redes IP.
• Protocolo de Segurança
• IPSec
• Ex.: compartilhamento da rede interna de uma empresa
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 13
• Protocolo de Segurança
• IPSec
• IPSec não é o mecanismo de encriptação ou autenticação, mas sim o que vem gerenciar estes.
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 14
autenticação, mas sim o que vem gerenciar estes.
• Pode ser definido como um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa a garantir uma comunicação segura em redes IP.
• Protocolo de Segurança
• IPSec
• O IPSec implementa encriptação e autenticação na camada de rede
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 15
camada de rede
•fornecendo uma solução de segurança fim-a-fim, ao contrário da anterior (enlace), que é ponto-a-ponto.
• O IPSec pode ser implementado nos roteadores ou no sistema operacional dos terminais, assim os aplicativos não precisam de alterações para poder utilizar comunicações seguras.
• Protocolo de Segurança
• IPSec
• Como os pacotes encriptados têm o mesmo formato de pacotes IP comuns
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 16
pacotes IP comuns
• eles podem ser roteados sem problemas em qualquer rede IP, e sem qualquer alteração nos equipamentos de rede intermediários.
• Os únicos dispositivos de rede que precisam ser alterados são os do início e fim das comunicações IPSec, reduzindo assim os custos de implementação e gerenciamento.
• Protocolo de Segurança
• IPSec
• Ex.: encriptação na camada de enlace, rede e aplicação
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 17
• Protocolo de Segurança
• IPSec
• Modos de Operação
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 18
• Cabeçalho genérico para o modo de transporte
• Protocolo de Segurança
• IPSec
• Modos de Operação
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 19
• Exemplo de um cabeçalho do modo túnel
• Protocolo de Segurança
• SSH (Estudo de caso)
• O SSH ou Secure Shell, pode ser simultaneamente um programa de computador e um protocolo de rede que
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 20
programa de computador e um protocolo de rede que permite a conexão com outro computador na rede, de forma a executar comandos de uma unidade remota.
• Possui as mesmas funcionalidades do TELNET, com a vantagem da conexão entre o cliente e o servidor ser criptografada.
• Protocolo de Segurança
• SSH (Estudo de caso)
• Vantagens em se utilizar SSH:
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 21
• ênfase na segurança
• mesmo que a rede local esteja comprometida você pode acessar de forma segura
• utiliza um conjunto de técnicas de criptografia
• são previstas respostas para vários tipos de ataques conhecidos
• Protocolo de Segurança
• SSH (Estudo de caso)
• Vantagens em se utilizar SSH (continuação):
• O SSH detecta casos em que o servidor tenha sido
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 22
• O SSH detecta casos em que o servidor tenha sido substituído por outra máquina
• situações nas quais se tenta injetar dados na conexão
• Protocolo de Segurança
• SSH (Estudo de caso)
• Vantagens em se utilizar SSH (continuação):
• A idéia central é que, mesmo em situações onde
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 23
• A idéia central é que, mesmo em situações onde seja fácil interceptar a transmissão (como no caso de uma rede wireless pública),
• seja impossível descobrir o conteúdo dos pacotes, devido à encriptação.
• É possível ainda, utilizar um par de chaves em vez de uma senha como forma de autenticação.
• Protocolo de Segurança
• SSH (Estudo de caso)
• O SSH utiliza chaves assimétricas para fazer a autenticação.
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 24
• Uma (a chave pública), permite apenas encriptar dados, enquanto a segunda (a chave privada) permite desencriptar as informações embaralhadas pela primeira.
• Quando você se conecta a um servidor SSH, seu micro e o servidor trocam suas respectivas chaves públicas, permitindo que um envie informações para o outro de forma segura.
• Protocolo de Segurança
• SSH (Estudo de caso)
• No SSH tudo é feito utilizando chaves de 512 bits ou mais (de acordo com a configuração).
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 25
• O problema é que, embora virtualmente impossível de quebrar, este nível de encriptação demanda um volume muito grande de processamento.
• Problema ???
• Protocolo de Segurança
• SSH (Estudo de caso)
• Para solucionar este problema, depois de fazer a autenticação, o SSH passa a utilizar um algoritmo mais simples (que demanda muito menos processamento) para
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 26
simples (que demanda muito menos processamento) para transmitir os dados.
• Por padrão é utilizado o 3DES (triple-DES), que utiliza uma combinação de três chaves DES, de 64 bits cada.
• As chaves são trocadas periodicamente durante a conexão, o que torna o sistema quase impossível de quebrar.
• Isso garante uma boa relação entre segurança e desempenho.
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• SSH é dividido em dois módulos:
• sshd – módulo servidor
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 27
• sshd – módulo servidor• ssh – módulo cliente
• Instalar o SSH no servidor
• apt-get install openssh-server
• Iniciar o servidor
• /etc/init.d/ssh start
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Dicas importantes:
• Liberar a porta 22 (padrão SSH)
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 28
• Liberar a porta 22 (padrão SSH)
• Máquinas clientes devem ter o pacote openssh-client
• Configuração do servidor em: "/etc/ssh/sshd_config“
• Configuração do cliente em: "/etc/ssh/ssh_config"
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Outras distribuições do SSH:
Tectia
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 29
• Tectia
• SunSSH
• OpenSSH (usado neste estudo de caso)
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Logando via cliente SSH
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 30
• ssh usuario@ip_do_servidor
• ssh –l usuario ip_do_servidor
• ssh [email protected]
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Configuração do cliente SSH
• Rodar alicativos gráficos remotamente
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 31
• Rodar alicativos gráficos remotamente
• Editar “/etc/ssh/ssh_config” (no cliente) e substituir a linha “ForwardX11 no” por:
• ForwardX11 yes
• Ou logar com o X habilitado:
• Ex.: “ssh –X usuario@ip_do_servidor”
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Configuração do cliente SSH
• Compressão de dados
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 32
• Compressão de dados
• Habilitar a linha:
• Compression = yes
• ou logar da seguinte forma:
• “ssh –C usuario@ip_do_servidor”
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Configuração do cliente SSH
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 33
• Problema
• conexão ser fechada pelo servidor depois de alguns minutos de inatividade...
• Solução
• Habilitar a opção “ServerAliveInterval”definindo um valor em segundos (padrão 120)
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Configuração do servidor SSH
• Editar arquivo “/etc/ssh/sshd_config”
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 34
• Editar arquivo “/etc/ssh/sshd_config”
• Porta = (Port 22)
• Controle de Acesso (ListenAddress 192.168.0.1)
• Usuários e Senhas
(PermitRootLogin yes)(AllowUsers joao maria)(DenyUsers fulano ciclano)(PermitEmptyPasswords no)
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Configuração do servidor SSH
Editar arquivo “/etc/ssh/sshd_config”
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 35
• Editar arquivo “/etc/ssh/sshd_config”
• Banner = (Banner = /etc/ssh/banner.txt)
• X11 Forwarding = (X11Forwarding yes)
• SFTP = (Subsystem sftp /usr/lib/sftp-server)
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Exercício (em duplas)
• Configurar um servidor usando o OpenSSH. Uma
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 36
• Configurar um servidor usando o OpenSSH. Uma máquina é o servidor a outra o cliente que vai se conectar
• O cliente deve fazer conexões tanto em modo texto quanto interface gráfica, bem como tunelamento quando achar necessário.
• O cliente deve se logar via ssh, sftp (no linux) e via putty e filezilla no windows.
• Protocolo de Segurança
• SSH (Colocando em funcionamento...)
• Exercício (em duplas)
• Já o servidor deve aceitar conexões vindas somente
Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2
Free Powerpoint TemplatesPage 37
• Já o servidor deve aceitar conexões vindas somente da rede interna e somente do usuário do cliente. Não deve aceitar conexões como root e deve permitir conexões do tipo SFTP.
• Ainda faça upload de arquivos do cliente para o servidor e download no processo inverso
• O servidor não deve permitir senhas de login em branco, deve ainda deixar uma mensagem personalizada ao usuário no momento do login.