Segurança de Redes de Computadores. Ricardo José Cabeça de Souza

Ricardo José Cabeça de Souza

www.ricardojcsouza.com.br

ricardo.souza@ifpa.edu.br

Arquitetura Redes

• COMUNICAÇÃO EM CAMADAS

– Para reduzir a complexidade do projeto a maior

parte das redes são organizadas em uma série de

camadas ou níveis

– O número, nome, conteúdo e função de cada

camada difere de uma rede para outra

– Em cada par de camadas adjacentes há uma

interface que define as operações e serviços que a

camada inferior tem a oferecer a superior

Arquitetura Redes

Camada 4

Camada 3

Camada 2

Camada 1

Meio de Comunicação

Camada 4

Camada 3

Camada 2

Camada 1

P rotocolo da Camada 4

P rotocolo da Camada 3

P rotocolo da Camada 2

P rotocolo da Camada 1

S IS TE MA B

S IS TE MA A

Interface

3/4

Interface

3/4

Interface

2/3

Interface

2/3

Interface

1/2

Interface

1/2

Arquitetura Redes

• ARQUITETURA DE REDES

– Um conjunto de camadas de protocolos

– É formada por níveis, interfaces e protocolos

– Deve conter informações suficientes para permitir

que um implementador desenvolva o programa

ou construa o hardware de cada camada, de

forma que ela obedeça corretamente ao protocolo

adequado

Arquitetura Redes

• MODELO DE REFERÊNCIA OSI (Open Systems

Interconnection)

– Baseia-se no conceito de camadas

– Padronizado pela ISO (International Organization for

Standardization)

– Cada camada executa um conjunto bem definido de

funções

– Devem possibilitar troca de informações entre processos

de aplicação (AP – Application Process)

Protocolo TCP/IP

, SCTP

Arquitetura Redes

• TRANSMISSÃO DE DADOS NO MODELO OSI

PROCESSO

RECEPTOR

PROCESSO

EMISSOR

Aplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

Aplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

Arquitetura Redes

PCI Camada de aplicação

PCI Protocol Control Information

SDU Service Date Unit

Arquitetura TCP/IP

• TCP/IP

– TCP  Transmission Control Protocol

– IP  Internet Protocol

• Meados década de 1960

• Departamento de Defesa dos EUA(DoD)

• Projeto ARPA(Advanced Research Project

Agency)

Arquitetura TCP/IP

• Principais Características

– Padrões de protocolos abertos

– Independente da especificação do

hardware da rede física

– Esquema de endereçamento universal

– Permite consistentes e amplos serviços aos

usuários

– Independente de arquitetura e sistema

operacional de rede

Arquitetura TCP/IP

• Definições da Arquitetura TCP/IP são

encontradas em documentos denominados

RFC (Request for Comments)

• Documentos elaborados e distribuídos pelo

Internet Architecture Board

• Subsidiária do IAB

– IRTF(Internet Research Task Force)

Host A

Transporte

Inter-rede

Interface

de

Rede

Aplicação

Rede Física 1

Intra-Rede

Host B

Transporte

Inter-rede

Interface

de Rede

Aplicação

Rede Física

2

Intra-Rede

Inter-rede

Interface

de Rede

Interface

de Rede

Gateway

Quadro

Idêntico

Datagrama

Idêntico

Quadro

Idêntico

Datagrama

Idêntico

Protocolo TCP/IP

• Camada Física/Enlace

– TCP/IP não define nenhum protocolo específico

– Suporta todos os protocolos-padrão e

proprietários

– Exemplo Redes:

• LAN

• WAN

• Etc.

Arquitetura TCP/IP

• REDE FÍSICA (INTRA-REDE)

– Padrões:

• EIA/TIA 568 (Electronic Indrustry

Association/Telecommunications Industry Association)

• Coaxial

• Fibra Ótica

• Transmissão Sem Fio

• ISDN (Integraded Services Digital Network)

• ATM (Asynchronous Transfer Mode )

EIA encerrou operações em fev/2011 e atribuíu suas atividades ao

ECIA - Electronic Components Industry Association.

Arquitetura TCP/IP

• REDE FÍSICA (INTRA-REDE)

– Padrões:

Protocolo TCP/IP

Camada Enlace

• CAMADA DE INTERFACE DE REDE (ENLACE)

– Fornece interface de serviço a camada de rede

– Determina como os bits da camada física serão

agrupados em quadros(frames)

– Trata os erros de transmissão

– Controle de fluxo de quadros

Camada Enlace

• PROTOCOLOS NÍVEL DE ENLACE

– Ethernet

– ATM (Asynchronous Transfer Mode)

– FDDI (Fiber Distributed Data Interface)

– HDLC (High-level Data Link Control)

• Protocolo síncrono, orientado a bit, de caráter geral

para canais full-duplex (ponto-a-ponto ou multiponto)

• HDLC é o tipo de encapsulamento padrão para cada

Protocolo TCP/IP

• Camada Física/Enlace

• ETHERNET

– Os elementos básicos do Ethernet

• QUADRO(Frame)

– Conjunto padronizado bits usados para transporte

dados

• Protocolo MEDIA ACCESS CONTROL(MAC)

– Regras de acesso

• COMPONENTES DE SINALIZAÇÃO

– Dispositivos eletrônicos para enviar e receber dados

• MEIO FÍSICO

– Cabos ou outros meios

• O Quadro Ethernet

Protocolo TCP/IP

• Camada Física/Enlace

– Principal protocolo utilizado: Ethernet

– Frame(Quadro) Ethernet

• PROTOCOLO MAC (Media Access Control)

• Regras de controle de acesso à mídia – CSMA/CD

– Sinal está sendo transmitido

• PORTADORA

– Quando deseja transmitir

• AUSÊNCIA DE PORTADORA

– Canal ocioso – espera breve tempo – IFG (InterFrame Gap – 96

bits)

• TRANSMITE QUADRO

– Duas estações transmitem simultaneamente

• DETECÇÃO DE COLISÃO

• REPROGRAMAR TRANSMISSÃO

Protocolo ARP

• Address Resolution Protocol

• Utilizado para mapear endereço IP(Nível

superior) para endereço físico (MAC)

• Permite que o host origem encontre o

endereço MAC do host destino

Protocolo TCP/IP

• Address Resolution Protocol (ARP)

– Utilizado para mapear endereço IP(Nível superior)

para endereço físico (MAC)

– Permite que o host origem encontre o endereço MAC

do host destino

– Funções:

• Determinar endereço físico

• Responder pedidos outros hosts

– Funcionamento

• Antes de enviar:

– Verifica cache

– Se encontrar endereço, envia frame

Protocolo TCP/IP

Protocolo TCP/IP

Protocolo TCP/IP

Protocolo ARP

Protocolo ARP

• Comandos do ARP

– arp /?  help

Protocolo TCP/IP

• Spanning Tree Protocol (STP)

– É um protocolo de rede que protege a topologia

da rede com loops gerados por algum dispositivo

na rede local Ethernet

– STP é um protocolo da camada de enlace (Data

Link Layer)

– Padronizado pelo IEEE como 802.1D

– Cada LAN é acessada pelas outras LANs através de

um único caminho, sem loops

Protocolo TCP/IP

• Spanning Tree Protocol (STP)

– A topologia lógica sem loops criada é chamada de árvore

– É uma topologia lógica em estrela ou em estrela estendida

– Spanning-tree (árvore de espalhamento) porque todos os

dispositivos da rede podem ser alcançados ou estão

abrangidos por ela

– O algoritmo usado para criar essa topologia lógica sem

loops é o algoritmo spanning-tree

– Esse algoritmo pode levar um tempo relativamente longo

para convergir

– Para reduzir o tempo que uma rede leva para computar

uma topologia lógica sem loops, foi desenvolvido um novo

algoritmo, chamado rapid spanning-tree

Protocolo TCP/IP

Se o switch A parar, o segmento 2 continua ativo em razão da redundância

garantida pelo switch B

Protocolo TCP/IP

• Spanning Tree Protocol (STP)

Protocolo TCP/IP

• Spanning Tree Protocol (STP)

– A cada Bridge é associado um ID e a que possuir o menor ID na

topologia física é eleita a Bridge Raiz (root bridge) da Árvore STP

– Cada Bridge, exceto a Bridge Raiz, terá uma única Porta Raiz

(root port) que será a que possuir o menor custo (largura de

banda, saltos e/ou delay de propagação de frames) no caminho

desta à Bridge Raiz. Pode ser determinada pelo STP ou pelo

Administrador da Rede

– Para cada LAN, é determinada uma Bridge Designada que é

aquela que possui o menor custo entre a LAN e a Bridge Raiz. A

porta que conecta a LAN à Bridge Designada é denominada

Porta Designada

– Se duas Bridges tiverem o mesmo custo para atingir a Bridge

Raiz, a que tiver o menor ID será considerada a Bridge

Protocolo TCP/IP

• Spanning Tree Protocol (STP)

1. STP estabelece um nó

raiz chamado de bridge

raiz

2. Constrói uma topologia

que tem um caminho para

alcançar todos os nós

da rede, a partir de uma

árvore com origem na

bridge raiz

3. Os links redundantes

que não fazem parte da

árvore do caminho mais

curto são bloqueados

Segurança de Redes

• Segurança Camada Enlace

–Alguns Ataques

• Sniffer

• SNIFFING

– É o procedimento realizado por uma ferramenta

conhecida como Sniffer

– Também conhecido como Packet Sniffer,

Analisador de Rede, Analisador de Protocolo,

Ethernet Sniffer em redes do padrão Ethernet ou

ainda Wireless Sniffer em redes wireless

– Constituída de um software ou hardware capaz de

interceptar e registrar o tráfego de dados em uma

rede de computadores

Segurança de Redes

• Sniffer

Segurança de Redes

• Sniffer

– Usado para furto de informações:

• nomes de usuários, senhas, conteúdo de

e-mails, - conversas chat, dados internos em uma

empresa

– Ataques internos (funcionários hostis)

– Ataques remotos, via Internet, com acesso

privilegiado a um gateway (roteador de

perímetro), que fica entre a rede interna e a

externa

Segurança de Redes

• Sniffer

–Ferramentas:

• IPTraf

• Wireshark

• EtherDetect

• Kismet

Segurança de Redes

• ARP Poisoning/ARP Spoofing/MITM(Man In The

Middle)

– Quando uma falsa resposta é dada em consultas ARP

– Um endereço MAC é associado a um IP que na

realidade não é o seu correspondente e então é

adicionado na tabela ARP

– Consiste em modificar a tabela ARP de um

computador se passando por outro

– Essa técnica permite desviar mensagens que seriam

destinadas a outro computador para o seu

– Conhecido também como ARP Spoofing e Man In The

Segurança de Redes

• ARP Poisoning/MITM(Man In The Middle)

Segurança de Redes

• ARP Poisoning/ARP Spoofing/MITM(Man In The

Middle)

• Ferramentas:

– Arpwatch/ Winarpwatch

• É um programa de monitoração da tabela ARP em uma rede

• A partir de uma cópia da tabela que ele mantém

armazenada, este software de vigilância consegue detectar

qualquer alteração no ARP cache

• Ao detectar alguma mudança na tabela, o Arpwatch gera

relatórios e pode enviar mensagens de aviso por e-mail

Segurança de Redes

• Segurança Camada Física

– VLAN (Virtual Local Area Network ou Virtual

LAN)

• Estruturas capazes de segmentar, logicamente, uma

rede local em diferentes domínios de broadcast

• Possibilita a partição de uma rede local em diferentes

segmentos lógicos (criação de novos domínios

broadcast), permitindo que usuários fisicamente

distantes (por exemplo, um em cada andar de um

edifício) estejam conectados a mesma rede

Segurança de Redes

• Benefícios VLAN

– Controle Tráfego broadcast

– Segmentação lógica

– Redução de custos e facilidade de gerenciamento

– Independência da topologia física

Segurança de Redes

• Segurança Camada Física

– Tipo de VLAN – Modelo 1

• VLAN de nível 1 (também chamada VLAN por

porta, em inglês Port-Based VLAN)

– Define uma rede virtual em função das portas de

conexão no comutador

– Configuração é rápida e simples

– Desvantagem:

»

Movimentação dos usuários  reconfiguração

VLAN

Segurança de Redes

• VLAN

– Membros de uma VLAN podem ser definidos de

acordo com as portas da ponte/comutador

Segurança de Redes

Segurança de Redes

Segurança de Redes

• Segurança Camada Enlace

– Tipo de VLAN - Modelo 2

• VLAN de nível 2 (igualmente chamada VLAN MAC, em

inglês MAC Address-Based VLAN)

– Consiste em definir uma rede virtual em função dos

endereços MAC das estações

– Este tipo de VLAN é muito mais flexível que a VLAN por porta,

porque a rede é independente da localização da estação

Segurança de Redes

• Tipo de VLAN - Modelo 2

– VLAN de nível 2 (igualmente chamada VLAN MAC,

em inglês MAC Address-Based VLAN)

– Os membros da rede virtual são identificados pelo

endereço MAC (Media Access Control) da estação

de trabalho

– O comutador reconhece o endereço MAC

pertencente a cada VLAN

Segurança de Redes

• Tipo de VLAN - Modelo 2

– VLAN de nível 2 (igualmente chamada VLAN MAC, em

inglês MAC Address-Based VLAN)

– Quando uma estação de trabalho é movida, não é

necessário reconfigurá-la para que esta continue

pertencendo a mesma VLAN, já que o endereço MAC faz

parte da sua placa de interface de rede

– Problema: membro de uma VLAN deve ser inicialmente

especificado, obrigatoriamente.

Segurança de Redes

• Segurança Camada Enlace

– Tipo de VLAN - Modelo 3

• VLAN de nível 2

– Membros de uma VLAN camada 2 também podem ser

identificados de acordo com o campo "tipo de protocolo"

encontrado no cabeçalho da camada 2

Segurança de Redes

• Segurança Camada Enlace

– Tipo de VLAN - Modelo 3

• VLAN de nível 2

– Membros de uma VLAN camada 2 também podem ser

identificados de acordo com o campo "tipo de protocolo"

encontrado no cabeçalho da camada 2

Segurança de Redes

• Segurança Camada Enlace

– Tipo de VLAN - Modelo 4

• VLAN de nível 2

– Membros de uma VLAN camada 2 também podem ser

identificados de acordo com o campo “tagged" inserido no

protocolo do cabeçalho da camada 2

– Especificação 802.1Q

– É conseguido introduzindo um TAG com um identificador de

VLAN (VID) entre 1 e 4.094 em cada frame

– As portas do Switch com protocolo 802.1Q podem ser

Segurança de Redes

Segurança de Redes

Segurança de Redes

Segurança de Redes

Referências

• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.

4. ed. São Paulo: McGraw-Hill, 2008.

• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.

• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão

1.1.0. Escola Superior de Redes RNP:2007.

• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO:

Implantação de Medidas e Ferramentas de Segurança da Informação.

Universidade da Região de Joinville – UNIVILLE, 2001.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII:

Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II:

Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão