Mecanismos de Segurança IMP

Curso Perito PF
Segurança da Informação
Mecanismos de Segurança
Prof. M.Sc. Gleyson Azevedo

professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 1
Roteiro
Mecanismos de Autenticação
Firewall
Serviço Proxy
IDS
VPN
Prof. Gleyson
A informação de autenticação normalmente estará sob o
controle de duas ou três entidades.
Quando o esquema de autenticação está sob o controle de
duas entidades, a entidade que está se autenticando e a
entidade autenticadora, o esquema é chamado Two-Party
Authentication.
Se for utilizada uma terceira entidade, que geralmente
possui o papel de validar ou certificar a autenticidade das
outras entidades, este esquema é chamado de Trusted
Third-Party Authentication.
Prof. Gleyson
A autenticação Two-Party ainda se subdivide em dois
esquemas: o de uma via (one-way) e o de duas vias (two-
ways).
No primeiro esquema, uma entidade, geralmente cliente,
se autentica em um servidor, sem que este precise se
autenticar no cliente.
No esquema de duas vias, todas as entidades devem se
autenticar mutuamente.
Prof. Gleyson
Em ambas as situações, a informação ou parte da mesma
que é compartilhada entre duas entidades participantes da
comunicação é chamada shared secret ou segredo
compartilhado.
Os principais métodos de autenticação Two-Party
conhecidos são: Shared Secret (chave secreta
compartilhada) e Challenge/Response.
O Shared Secret, pela sua simplicidade, é um dos
esquemas de autenticação mais utilizados em redes VPN, e
utiliza uma senha compartilhada entre as entidades de
rede.
Prof. Gleyson
No Shared Secret, as entidades conhecem previamente a
senha ou a chave secreta, enquanto o Challenge/Response
é um esquema de desafio e resposta, onde o servidor lança
um desafio a uma outra entidade, esperando uma resposta
previamente acordada entre elas.
Geralmente, este último esquema utiliza como desafio e
resposta um conjunto de chaves para criptografia
simétrica.
Os principais protocolos de autenticação que sustentam
estes métodos são: PAP, CHAP, TACACS+ e o RADIUS.
Prof. Gleyson
Mecanismos de Autenticação –
Segurança AAA
A segurança de acesso à rede é baseada em uma
arquitetura modular denominada arquitetura AAA, a saber:
Authentication (Autenticação) – requer que os
usuários provem que são realmente quem dizem ser.
Exemplo: autenticação para uso do internet banking.
Authorization (Autorização) – após a autenticação
do usuário, os serviços de autorização decidem quais
recursos os usuários podem acessar e quais operações
podem realizar. Exemplo: usuário professor pode
acessar o host LX_Server através de SSH.
Prof. Gleyson
Segurança AAA
(Cont.)
Accounting (Contabilidade) – registra o que o
usuário realmente fez, o que ele acessou e por quanto
tempo, para fins de contabilidade e auditoria, mantendo
um registro de como os recursos de rede são utilizados.
Exemplo: usuário aluno tentou acessar o host LX_Server
por meio de Telnet 10 vezes.
Prof. Gleyson
Mecanismos de Autenticação -
RADIUS
O RADIUS (Remote Authentication Dial-In User Service) foi
desenvolvido inicialmente pela Lucent como uma solução
para prover autenticação e gerenciamento de clientes
remotos conectados através de linhas discadas.
Em janeiro de 1997, o RADIUS foi padronizado pela IETF
através da RFC 2058.
Posteriormente, dezenas de outras RFCs o alteraram,
tornando sua definição inicial totalmente obsoleta.
Atualmente, é descrito pela RFC 2865, de junho de 2000 e
pela RFC 2866, que define o seu serviço de contabilidade.
Prof. Gleyson
RADIUS
Os recursos de Servidor de Segurança suportados por uma
solução RADIUS são:
suporte AAA para usuários remotos;
protocolo UDP (porta 1812 ou 1645) para comunicação
entre o NAS e o servidor de segurança, simplificando as
implementações cliente e servidor do RADIUS;
algoritmo de hash MD5 utilizado para as senhas de
usuário;
suporte à autenticação pergunta/resposta PAP e CHAP;
Prof. Gleyson
RADIUS
(Cont.):
serviços de autenticação e autorização combinados,
possibilitando que o cliente seja autenticado e que
receba informações de configuração do servidor,
enquanto o serviço de contabilidade é realizado
separadamente;
todas as transações entre o cliente e o servidor de
segurança RADIUS são autenticadas através de um
segredo compartilhado.
Prof. Gleyson
RADIUS
A solução RADIUS baseia-se em uma arquitetura cliente-
servidor, que adiciona um elemento de rede chamado
Network Access Server (NAS) ou servidor de acesso
remoto, que possui como principais funções:
o estabelecimento da conexão remota via linha
discada;
o gerenciamento dos pedidos de conexão;
e a liberação ou não dos pedidos.
Prof. Gleyson
RADIUS
Desta forma, o NAS pode e deve ser configurado para
trabalhar como cliente de um servidor de autenticação, no
caso, um servidor RADIUS.
Com isso, cada pedido de autenticação passa pelo NAS,
que passa ao servidor RADIUS, que encaminha o retorno
ao servidor, que retorna ao cliente.
Prof. Gleyson
RADIUS
Prof. Gleyson
RADIUS
O cliente e o servidor de segurança RADIUS comunicam-se
utilizando os seguintes pacotes:
Access-Request (solicitação de acesso);
Access-Accept (acesso aceito);
Access-Reject (acesso rejeitado);
Access-Challenge (pergunta de acesso).
Prof. Gleyson
RADIUS
Etapas do login:
o usuário solicita autenticação PPP para o NAS e entra
com usuário e senha;
o NAS então envia um pacote Acces-Request contendo
o nome do usuário e a sua senha criptografada, além
de outros atributos, para o servidor RADIUS;
o RADIUS valida e autentica o cliente, pesquisa os
parâmetros de autorização do usuário e envia o pacote
Access-Accept ou Access-Reject, podendo também
enviar um pacote de desafio Access-Challenge pro NAS;
Prof. Gleyson
RADIUS
(Cont.):
A resposta Access-Accept ou Access-Reject é
empacotada com dados adicionais (próprios de cada
fabricante) que são usados para autorização.
O RADIUS pode periodicamente enviar um pacote
Access-Challenge para o NAS, a fim de solicitar que o
usuário digite seu nome e senha novamente, enviar o
estado do NAS ou executar outras ações.
Prof. Gleyson
Engenheiro de Redes de Comunicação – Corpo de Bombeiros
Militar DF/2007 – CESPE
Prof. Gleyson
TACACS
O TACACS (Terminal Access Controller Access-Control
System) é um protocolo de autenticação remota usado
para comunicação com servidores de autenticação,
comumente em redes UNIX.
Ele permite que um NAS se comunique com um servidor
de autenticação para verificar se o usuário tem acesso à
rede.
Um cliente coleta o nome de usuário e a senha e então
envia uma consulta a um servidor de autenticação
TACACS (TACACS daemon ou simplesmente TACACSD).
Prof. Gleyson
TACACS
Baseado na resposta desta consulta, o acesso ao usuário é
liberado ou não.
Outra versão do TACACS lançada em 1990 foi batizada de
XTACACS (extended TACACS), entretanto, estas duas
versões vem sendo substituídas pelo TACACS+ e pelo
RADIUS em redes mais novas.
TACACS é definido pela RFC 1492, usando tanto TCP como
UDP e por padrão a porta 49.
Prof. Gleyson
TACACS+
O TACACS+ (Terminal Access Controller Access-Control
System Plus) é um aplicativo de AAA para servidor de
segurança e um protocolo que permite o controle central
de usuários que tentam obter acesso através de um NAS,
roteador ou outro equipamento de rede que suporte
TACACS+.
A sua especificação de protocolo é de padrão de indústria,
inicialmente descrita pela RFC 1492.
Apesar do nome, TACACS+ é um protocolo completamente
novo e não é compatível com TACACS ou XTACACS.
Prof. Gleyson
TACACS+
Suas funções são muito semelhantes às do RADIUS, porém
eles apresentam algumas diferenças, cujas principais são
apresentadas na tabela a seguir.
Prof. Gleyson
TACACS+
Funcionalidade TACACS+ RADIUS
Suporte AAA Separa os três serviços Combina autenticação

AAA. e autorização e separa
a contabilidade.
Protocolo de TCP UDP
Transporte
Pergunta/Resposta Bidirecional Unidirecional (somente

do Servidor RADIUS
para o cliente)
Integridade dos Todo o pacote TACACS+ Somente a senha do
dados criptografado usuário é
criptografada
Prof. Gleyson
Firewall
Definições:
É um mecanismo de proteção que controla a passagem
de pacotes entre redes, tanto locais como externas.
É um dispositivo que possui um conjunto de regras
especificando que tráfego ele permitirá ou negará.
É um dispositivo que permite a comunicação entre
redes, de acordo com a política de segurança definida e
que são utilizados quando há uma necessidade de que
redes com níveis de confiança variados se comuniquem
entre si.
Prof. Gleyson
Firewall
Existem coisas que o firewall NÃO PODE proteger:
do uso malicioso dos serviços que ele é autorizado a
liberar;
dos usuários que não passam por ele, ou seja, não
verifica o fluxo intra-redes;
dos ataques de engenharia social;
das falhas de seu próprio hardware e sistema
operacional.
Prof. Gleyson
Firewall – Modelo Conceitual
Filtro Filtro
Inside GATEWAY Outside
Prof. Gleyson
Firewall – Política Padrão
Existem dois tipos de modelo de acesso, ou política
padrão, que podem ser aplicados ao firewall:
tudo é permitido, exceto o que for expressamente
proibido;
tudo é proibido, exceto o que for expressamente
permitido.
Prof. Gleyson
Firewall – Classificação e
Funcionalidades
Classificação:
filtro de pacotes;
filtro de pacotes baseado em estados ou filtro de
estado das conexões (stateful);
proxy de serviços.
Funcionalidades:
filtro de pacotes;
filtro de pacotes baseado em estados;
Prof. Gleyson
Firewall – Classificação e
Funcionalidades
Funcionalidades:
proxies;
NAT;
Zonas Desmilitarizadas (DMZ);
balanceamento de carga;
alta disponibilidade.
Prof. Gleyson
Técnico Administrativo I – Informática – Paraná Previdência/2002 –
CESPE
Prof. Gleyson
Firewall – Filtro de Pacotes
É um dos métodos mais antigos e amplamente disponíveis
de controlar o acesso a redes.
Pode ser encontrado em sistemas operacionais, em
firewalls de software ou de hardware, e também como um
recurso da maioria dos roteadores.
Os filtros de pacotes protegem todo o tráfego entre redes
verificando apenas parâmetros da camada de rede e de
transporte TCP/IP.
Prof. Gleyson
Este tipo de firewall é implementado como um roteador
que, ao realizar suas funções de roteamento, verifica as
seguintes informações dos pacotes:
endereços IP de origem e de destino;
tipo de protocolo – TCP, UDP e ICMP;
portas de origem e de destino;
flags IP e TCP;
tipos de mensagens ICMP;
tamanho do pacote.
Prof. Gleyson
A principal vantagem dos filtros de pacotes é a sua
eficiência, pois cada operação de filtragem estará restrita a
verificar somente informações básicas do cabeçalho do
pacote.
Desta forma, é amplamente utilizado em roteadores como
listas de controle de acesso.
A despeito disso, sua principal desvantagem é a de não
conseguir verificar o estado das conexões, sendo
necessário criar várias linhas de filtragem para se
implementar uma única regra.
Prof. Gleyson
Por exemplo, em um regra simples que permita o acesso
de clientes a um servidor HTTP é necessário configurar as
conexões de chamada do cliente para o servidor bem
como as das respostas do servidor para o cliente.
Sintaxe:
Política [ACCEPT | DROP | REJECT] Protocolo [TCP |
UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] {
Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino
[DA=ipaddr/msk] Porta Destino [DP] Opções [ ].
Prof. Gleyson
Servidor
Web
192.168.1.4
Cliente
Firewall
10.2.3.2
Regras de Fitragem de
Pacotes:
ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4
DP=80
ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024
DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL
SA - Source Address
SP - Source Port
DA - Destination Address
SA - Source Address
Prof. Gleyson
Firewall – Filtro de Estado das
Conexões (Stateful)
O firewall de filtro de estado tenta rastrear o estado das
conexões de rede enquanto filtra os pacotes.
Suas capacidades são resultado do cruzamento das
funções de um filtro de pacotes com a inteligência
adicional do protocolo.
Este tipo de firewall examina predominantemente as
informações das camadas IP e de transporte de um pacote
que inicia uma conexão.
Se o pacote inspecionado combinar com a regra de firewall
existente que o permita, uma entrada é acrescentada em
uma tabela de estados.
Prof. Gleyson
Desse ponto em diante, os pacotes relacionados com a
sessão que consta na tabela de estado terão os seus
acessos permitidos, sem a chamada de qualquer outra
inspeção.
Em tese, este método aumenta o desempenho geral do
firewall, pois somente os pacotes iniciais precisam ser
totalmente desmembrados até a camada de aplicação.
Entretanto, se a implementação da tabela de estado não
oferecer um modo eficiente de manipular os estados da
conexão, poderá haver queda de desempenho do
equipamento.
Prof. Gleyson
Este tipo de firewall é um filtro de pacotes dinâmico, ou
seja, ele mantém o estado de cada conexão que passa por
ele.
Isto é possível com a implementação de uma tabela de
estados em que o firewall mantém o relacionamento entre
endereços IP de origem e de destino, portas de origem e
de destino, flags do segmento TCP e tipos de pacotes
ICMP.
Desta forma, não é mais necessário criar entradas
adicionais para a mesma conexão.
Prof. Gleyson
Estado é a condição de pertencer a uma determinada
sessão de comunicação.
A definição desta condição vai depender da aplicação com a
qual as partes estão se comunicando e dos protocolos que
as partes estão utilizando.
Os protocolos de transporte podem ter o estado de sua
conexão rastreado de várias formas.
Prof. Gleyson
Muitos dos atributos que compõem uma sessão de
comunicação, inclusive os pares de endereço IP, portas de
origem e de destino, números de sequência e flags, podem
ser utilizados como identificação de uma conexão
individual.
A combinação dessas partes de informação normalmente é
mantida como um hash (resumo) em uma tabela de
estado, para facilitar a comparação.
Prof. Gleyson
Prof. Gleyson
TCP: como é um protocolo baseado em conexão, o estado
de suas sessões de comunicação pode ser solidamente
definido através de sua Máquina de Estados Finitos
(modelo que define todos os estados possíveis do
protocolo TCP).
A conexão TCP pode assumir 11 estados diferentes
(conforme RFC 793).
Apesar da desconexão TCP ser prevista em seu modelo,
para evitar que a tabela do firewall possua informações
de conexões inexistentes, é comum a utilização de
contadores de tempo para cada conexão.
Prof. Gleyson
UDP: é um protocolo de transporte sem conexão, o que
dificulta o acompanhamento de seu estado.
Na realidade, um protocolo sem conexão não possui
estado, portanto, deve haver algum mecanismo que
garanta criar um pseudo-estado através do registro de
itens do UDP que estejam relacionados a uma
determinada sessão de comunicação.
Como o UDP não possui números de sequência ou flags,
os únicos itens que podem servir como base são os pares
de endereço IP e a porta de serviço dos dois pontos
envolvidos na comunicação.
Prof. Gleyson
ICMP: assim como o UDP, o ICMP não possui estado,
contudo, também como o UDP, ele dispõe de atributos
que permitem que suas conexões sejam acompanhadas de
um modo com pseudo-estado.
A parte mais complicada do acompanhamento do ICMP
envolve suas comunicações unidirecionais.
O protocolo ICMP normalmente é utilizado para retornar
mensagens de erro quando um host ou protocolo não
pode fazer isso por conta própria, no que pode ser
descrito como uma mensagem de resposta.
Prof. Gleyson
As mensagens do tipo resposta do ICMP são precipitadas
por solicitações de outros protocolos (TCP, UDP).
Devido a essa questão de multiprotocolo, descobrir
mensagens ICMP no estado de um par de soquetes (IP +
PORTA) existentes pode ser algo confuso para a tabela de
estado.
A outra maneira de se utilizar o ICMP é através do seu
próprio mecanismo de pedido/resposta, como por
exemplo, o ping onde são utilizadas as mensagens de
echo-request e echo-replay.
Prof. Gleyson
Aplicação sem Estado (HTTP): apesar do http utilizar um
serviço de transporte confiável, este protocolo de aplicação
não possui estado. Isto ocorre pelo fato de ter sido
implementado para abrir conexões diferentes para cada
recurso de uma página Web.
Prof. Gleyson
Inspeção com Estado - é o termo utilizado para uma
evolução do filtro de estados onde, além das informações
relativas ao IP e transporte, também são incluídas
informações dos protocolos de aplicação na tabela de
estados.
Sua primeira implementação foi com o Check Point F1,
com sua linguagem proprietária INSPECT, e de onde
surgiu a denominação statefull inspection utilizada por
outros firewalls que implementam filtragem com inspeção
de estado (Exemplo: Netfilter/Iptables, Cisco PIX).
Prof. Gleyson
Firewall – Proxy de Serviços
Em geral, um proxy (procurador) é algo ou alguém que
faz algo em nome de outra pessoa.
Os serviços proxy são programas aplicativos ou servidores
especializados que recebem as solicitações dos usuários e
as encaminha para os respectivos servidores reais.
Do ponto de vista do cliente, o servidor é o proxy; do
ponto de vista do servidor, o cliente é o proxy.
Seu princípio básico de funcionamento está no fato de
que este tipo de firewall não permite a conexão direta
entre as entidades finais da comunicação.
Prof. Gleyson
Na figura a seguir, todas as conexões HTTP originadas
pelos clientes são enviadas para o Proxy do Serviço HTTP.
Este, por sua vez, envia os pedidos ao servidor como
sendo ele o solicitante.
O servidor HTTP responde ao proxy e este repassa as
respostas aos respectivos clientes.
Prof. Gleyson
Prof. Gleyson
Neste contexto, o proxy de serviço roda em uma máquina
com duas interfaces de rede, entretanto, diferentemente
do filtro de pacotes, o proxy não realiza roteamento dos
datagramas IP.
Desta forma, não é necessário criar regras de filtragem
dentro do proxy de serviços pois as duas redes conectadas
ao proxy não são visíveis entre si.
Prof. Gleyson
Além de não permitir o acesso direto entre redes, o proxy
de serviços possui outras vantagens, tais como ponto
único de registro de log sobre as atividades de um
determinado serviço e possibilidade de realizar
autorização de acesso por usuário.
As principais desvantagens do proxy de serviços são:
redução do desempenho do sistema que o suporta;
há um número limitado de serviços que podem ser

encaminhados ao proxy (principalmente os
criptografados);
o sistema do proxy estará exposto diretamente.
Prof. Gleyson
Uma implementação que era bastante comum é a de
misturar as funções de filtro de pacotes e de proxy no
mesmo equipamento conforme a figura a seguir.
Não é uma configuração recomendável devido ao alto
consumo de recursos de hardware.
Prof. Gleyson
Prof. Gleyson
Analista de Sistemas Júnior – Infraestrutura – Petrobrás/2007 –
CESPE
Prof. Gleyson
Analista em TI – Infraestrutura – PM Vitória/2007 – CESPE
Prof. Gleyson
Analista Redes – SERPRO/2004 – CESPE
Prof. Gleyson
Analista de Sistemas – CHESF/2002 – CESPE
Prof. Gleyson
Agente Técnico – Analista de Rede – MPE/AM – CESPE – 2008
Prof. Gleyson
Firewall – Zona
Desmilitarizada (DMZ)
A utilização de firewall para se conectar uma rede à
Internet possibilitou uma topologia de acesso interessante
e segura.
Na figura a seguir, tem-se uma rede composta por
máquinas clientes, servidores de serviços de Intranet
(acessados pelos clientes internos) e servidores de
serviços Internet (acessados pela Internet).
Prof. Gleyson
Firewall – Zona
Prof. Gleyson
Firewall – Zona
Na topologia apresentada, deve-se observar o seguinte:
no mesmo segmento da rede da empresa, há a
ocorrência de tráfego local e de tráfego oriundo da
Internet;
caso o servidor de serviços de Internet (um servidor
Web, por exemplo) seja comprometido por algum
agente mal intencionado, o ataque poderá se propagar
para o restante de rede.
Prof. Gleyson
Firewall – Zona
Conclusão: Deve ser criado um mecanismo que separe a
natureza dos dois tipos de tráfego isolando o servidor que
recebe os acessos Internet dos demais servidores e
máquinas clientes da rede interna da empresa.
Solução: Criar uma área de rede reservada para a
hospedagem dos serviços públicos (acessados pela
Internet), ou seja, uma Zona Desmilitarizada (DMZ).
Prof. Gleyson
Firewall – Zona
Objetivos:
evitar que a Internet acesse diretamente serviços
dentro de uma rede interna;
separar o tráfego de rede interno do externo;
ligação de uma rede interna com a Internet ou com
uma rede de outra organização.
Prof. Gleyson
Firewall – Zona
1ª Topologia (figura a seguir):
nesta topologia a DMZ é implementada na rede entre o
firewall e o roteador;
em algumas literaturas é comum encontrar o termo
“bastion host” para designar o servidor que fica
instalado na DMZ.
Prof. Gleyson
Firewall – Zona
Prof. Gleyson
Firewall – Zona
Agora, todos os acessos aos serviços públicos ficarão
restritos à DMZ, não atingindo a rede interna da empresa
(se o firewall estiver configurado para tal).
Deve ser observado que a DMZ poderá estar protegida por
meio das regras de filtragem que poderão ser configuradas
no roteador.
Prof. Gleyson
Firewall – Zona
nesta topologia, a DMZ foi instalada em uma placa
adicional do firewall;
desta forma são criadas as regras de acesso da DMZ
neste firewall.
Prof. Gleyson
Firewall – Zona
Prof. Gleyson
Firewall – Zona
a figura mostra uma DMZ criada entre dois firewalls;
com essa topologia, a rede interna não acessa
diretamente à Internet e esta não acessa a rede interna.
Prof. Gleyson
Firewall – Zona
Prof. Gleyson
Analista em TI – Infraestrutura – PM Vitória/2007 – CESPE
Prof. Gleyson
Analista Judiciário – Análise de Sistemas – TSE/2007 – CESPE
Prof. Gleyson
Serviço Proxy
Um modelo de comunicação cliente/servidor tradicional
envolve a transferência de pedidos de clientes para
servidores e respostas de volta aos clientes.
Não existem intermediários no caminho entre o cliente e o
servidor.
No caso da Web, os usuários, por meio de agentes,
enviariam pedidos aos servidores de origem, e as
respostas seriam retornadas diretamente aos
navegadores.
A presença de um proxy poderia auxiliar os dois lados,
reduzindo a comunicação redundante.
Prof. Gleyson
Serviço Proxy
Por exemplo, o proxy poderia ter um cache associado a ele
e oferecer resposta ao cliente sem envolver o servidor de
origem.
O tempo de resposta percebida pelo cliente é reduzido se o
proxy estiver mais próximo dele.
A carga sobre a rede é reduzida porque a mensagem
precisa atravessar uma distância mais curta.
Ao mesmo tempo, o proxy reduz a carga no servidor, que
agora precisa lidar com um número menor de mensagens.
Prof. Gleyson
Serviço Proxy
O serviço de proxy é um programa que atua como servidor
e cliente para a finalidade de encaminhar pedidos.
Um servidor proxy aceita pedidos de outros clientes e os
atende internamente ou passando-lhes adiante (com
possível tradução) para outros servidores.
No que se refere ao usuário, a comunicação com o servidor
proxy é exatamente igual a se comunicar diretamente com
o servidor real.
No que se refere ao servidor real, ele não sabe que o
usuário está, na realidade, por trás de um proxy.
Prof. Gleyson
Serviço Proxy
Em uma DMZ, o servidor proxy é a única máquina que,
em nome de vários clientes internos, realiza a
comunicação com a Internet para um determinado
serviço.
Desta forma, só é necessário atribuir um endereço válido
na Internet ao proxy.
Prof. Gleyson
Serviço Proxy
Proxy de Circuito: é um serviço que cria um circuito entre o
cliente e o servidor, sem interpretar o protocolo de
aplicação.
Por operar em camadas inferiores, este tipo de proxy
permite que vários tipos de aplicação utilizem o seu meio
de transporte.
Entretanto, está restrito aos parâmetros de controle de
rede e transporte apenas e são facilmente iludidos por
servidores configurados com número de portas atribuídos a
outros serviços.
Prof. Gleyson
Serviço Proxy
Proxy de Aplicação: é um serviço que conhece a aplicação
específica para a qual está fornecendo serviços de proxy.
Ele reconhece e intercepta os comandos do protocolo de
aplicação.
Desta forma, há restrição do número de serviços que
podem se beneficiar da utilização de um proxy.
Em compensação, este tipo de proxy permite um controle
de acesso mais rigoroso com a análise dos parâmetros de
rede e transporte assim como dos comandos e contexto
das aplicações.
Prof. Gleyson
Serviço Proxy
Proxy Genérico: serve a vários protocolos. Na prática, é
um proxy de circuito.
Proxy Dedicado: serve a um protocolo. Na prática, é um
proxy de aplicação.
Proxy sem Caching: encaminha os pedidos dos clientes e
as respostas dos servidores, sem armazenar nenhuma
informação que possa ser utilizada no futuro.
Prof. Gleyson
Serviço Proxy
Proxy com Caching: mantém um armazenamento das
respostas recebidas dos servidores. Quando o proxy
recebe um pedido que pode ser satisfeito por uma
resposta já armazenada em cache, a mensagem não é
encaminhada ao servidor que possui o conteúdo e a
resposta ao cliente é gerada pelo proxy.
Proxy Transparente: não modifica o pedido ou resposta
mais de que maneira superficial, como por exemplo, seu
endereço IP e porta de serviço.
Prof. Gleyson
Serviço Proxy
Proxy não Transparente: pode modificar o pedido e/ou a
resposta. Esta mudança está mais relacionada à aplicação
onde, por exemplo, em um proxy HTTP pode-se alterar os
parâmetros da mensagem de pedido (GET, versão do
protocolo, User-Agent) ou os parâmetros da mensagem de
resposta (código da mensagem, Server).
Proxy de Interceptação: é um proxy que examina
diretamente o tráfego da rede e intercepta-o ou recebe o
fluxo de tráfego redirecionado dos elementos da rede.
Prof. Gleyson
Serviço Proxy
O proxy de interceptação tenta, então, gerar uma resposta
ao pedido localmente ou redirecionar o pedido para outros
lugares.
Para um proxy de interceptação ter a visibilidade de todos
os pedidos e respostas, ele precisa ser instalado de tal
forma que a única rota para a Internet pelos clientes é
feita através dele.
Um proxy de interceptação exige que diretrizes adequadas
a partes específicas do tráfego da rede sejam introduzidas
em um roteador ou firewall.
Prof. Gleyson
Serviço Proxy
Como a interceptação é feita em uma camada inferior na
pilha de protocolos, não é fácil permitir que certos pedidos
evitem a interceptação.
Os clientes não desempenham qualquer papel na decisão
de quais mensagens serão ou não redirecionadas; como
consequência, não é exigida qualquer tipo de configuração
no software cliente à respeito do proxy.
O proxy de interceptação pode ser chamado, em alguns
artigos ou até mesmo em sites e manuais de produto,
como proxy transparente.
Prof. Gleyson
Serviço Proxy
A figura abaixo ilustra o funcionamento de um Proxy HTTP
entre um cliente e um servidor.
Prof. Gleyson
Serviço Proxy -
Funcionamento
1. Conexão de Serviço Proxy: com o IP do servidor
proxy, o cliente solicita um serviço de proxy
passando como mensagem a URL que deseja
acessar.
2. Conexão DNS: o cliente vai acessar uma página
Web, por intermédio de um proxy. Antes necessita
resolver o nome do servidor proxy.
3. Conexão DNS: o servidor proxy resolve o nome do
servidor web de destino.
Prof. Gleyson
Serviço Proxy -
Funcionamento
4. Conexão HTTP: o servidor proxy estabelece uma
conexão http com o servidor web e envia a
solicitação passada pelo cliente, de forma
transparente ou não.
5. Conexão HTTP: o servidor web responde com a
página solicitada.
6. Conexão Proxy: o servidor proxy repassa a
resposta, de forma transparente ou não, ao cliente.
Neste caso, a página de resposta pode ser
armazenada no cache do proxy.
Prof. Gleyson
Serviço Proxy - Hierarquia
Alguns servidores de Proxy, como por exemplo o Squid,
permitem a criação de uma estrutura hierárquica de proxy
onde há relação entre pais e filhos e entre irmãos.
As vantagens da utilização de uma estrutura hierárquica
de proxy são: a descentralização de funções, aplicação de
políticas diferenciadas e redundância.
Prof. Gleyson
Prof. Gleyson
Na topologia anterior:
Existe um proxy para cada rede interna. Desta forma,
os clientes de cada rede irão enviar suas requisições

para o respectivo proxy. Em cada proxy podem ser
aplicadas políticas de acesso diferenciadas.
Existem 2 servidores proxy na DMZ, cuja função é de
receber as solicitações de serviço oriundas apenas dos

servidores proxy internos.
A relação entre os servidores proxy internos com os da
DMZ é de pai para filho ou seja, o filho deve solicitar

permissão de acesso ao pai.
Prof. Gleyson
Na topologia anterior:
A relação entre os servidores proxy da DMZ é de
irmãos, sendo que um servirá de contingência para o
outro, poderá haver balanceamento da carga de
solicitações de clientes e um proxy pode consultar o
cache do outro.
Prof. Gleyson
Serviço Proxy – Proxy Reverso
É um tipo de aplicação do serviço proxy onde há a
inversão de papéis, ou seja, o proxy está posicionado no
lado do servidor, recebe as requisições de clientes remotos
e as encaminha para um único servidor local, conforme
figura a seguir.
Prof. Gleyson
Prof. Gleyson
Na figura, os clientes acessam a página hospedada no
servidor web por meio do proxy reverso.
O proxy reverso também é chamado de “acelerador de
web”, pois permite o armazenamento das páginas do
servidor web em seu cache, diminuindo o tempo de
reposta para os clientes.
Sob o aspecto de segurança, a vantagem de se utilizar um
proxy reverso é a possibilidade de esconder, dos clientes
externos, a identidade real do servidor web.
Outra vantagem é que o mesmo proxy reverso pode servir
a mais de um servidor.
Prof. Gleyson
IDS
Sistemas de Detecção de Intrusos (Intrusion Detection
System – IDS) atuam como mecanismos de detecção,
realizando a monitoração em sistemas locais ou em
sistemas em redes, à procura de eventos que possam
comprometer os ativos de um sistema de informação ou
que possam transpor os mecanismos de proteção.
O princípio de funcionamento de um IDS é baseado na
identificação, delimitação e tratamento dos eventos
relevantes para o processo de detecção.
Prof. Gleyson
IDS
Estes eventos relevantes são selecionados dentro de um
conjunto de eventos possíveis de serem observados em
um determinado sistema ou em uma rede.
Um dos grandes desafios dos sistemas de detecção de
intrusos é:
Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.
Prof. Gleyson
IDS
Falso Positivo: IDS gera um alarme de ataque na
ocorrência de um evento ou tráfego normal.
Falso Negativo: IDS não gera alarme na ocorrência de
um evento ou tráfego mal intencionado.
O falso positivo é um evento observável e relevante que é
classificado pelo IDS como um evento intrusivo.
Seu maior problema é a geração de um grande número de
alertas, o que dificulta a administração e a análise das
informações do IDS.
Prof. Gleyson
IDS
Já no caso dos falsos negativos, estes podem ocorrer tanto
em eventos não observáveis como em eventos observáveis
e, dentro deste último grupo, também pode estar presente
dentro dos eventos relevantes.
Seu maior problema é justamente o inverso do falso
positivo, ou seja, não há registros da ocorrência de falsos
negativos no IDS.
Prof. Gleyson
IDS
Prof. Gleyson
IDS - Classificação
Quanto ao Método de Detecção, os sistemas de
detecção de intrusos são classificados como:
sistemas de intrusão baseados em anomalias;
sistemas de detecção baseados em assinatura.
Quanto à Arquitetura, os sistemas de detecção de
intrusos são classificados segundo os critérios localização
e alvo.
Com base na localização, são classificados em:
centralizado, hierárquico ou distribuído.
Prof. Gleyson
IDS - Classificação
Com base no alvo, são classificados em:
sistemas baseados em host;
sistemas baseados em rede.
Prof. Gleyson
IDS – Baseado em Anomalia
O Sistema de Intrusão Baseado em Anomalia é um
método também conhecido como Método Reacionário
ou Sistema de Detecção por Comportamento.
Independente do nome, ele se baseia na análise do
comportamento do sistema e na identificação de
possíveis desvios, comparando o estado observado a um
padrão de comportamento considerado normal.
Prof. Gleyson
As informações a seguir podem ser tomadas como base
para identificar o comportamento padrão do sistema/rede
e subsidiar na identificação de tráfegos anormais:
quantidade de tráfego na rede em determinados
horários;
tipos de protocolos que passam na rede e seus
prováveis horários;
carga de processamento da CPU;
aplicações utilizadas na rede;
serviços ativos no sistema;
endereços IP que trafegam pela rede, etc.
Prof. Gleyson
Vantagens:
possibilita detectar ataques desconhecidos, sendo
desnecessária a manutenção de uma base de dados
que armazene todos os tipos possíveis de ataques e
vulnerabilidades;
pode ser usado para gerar informações que darão
origem a uma assinatura.
Desvantagens:
para usar esse método de detecção, é imprescindível
que o administrador conheça o comportamento da
rede/sistema, o que é muito difícil devido à
heterogeneidade e à complexidade desses ambientes.
Prof. Gleyson
Desvantagens:
devido à dificuldade apresentada no item anterior,
esse método leva a um maior número de falsos

positivos;
os relatórios são mais difíceis de serem analisados,
não informando dados conclusivos da vulnerabilidade

explorada.
Prof. Gleyson
IDS – Baseado em Assinaturas
O Sistema de Intrusão Baseado em Assinatura é um
método também conhecido como Sistema Preemptivo
ou Sistema de Detecção por Abuso.
Essa técnica busca sequências de ações nitidamente
caracterizadas como inválidas, registradas em uma base
de dados (assinaturas) que contém o conhecimento
acumulado sobre ataques específicos e vulnerabilidades.
Prof. Gleyson
Vantagens:
por comparar o tráfego capturado a uma assinatura, o
número de falsos positivos é menor, comparado ao
método anterior;
devido ao fato de o número de falsos positivos ser
menor, e também porque o alarme gerado pelo IDS irá
mostrar a que tipo de ataque o tráfego corresponde
(devido à assinatura a qual foi comparado), faz-se
possível a adoção de contramedida;
Prof. Gleyson
Vantagens:
redução na quantidade de informação tratada, isto é, o
alarme é mais preciso e evidente;
permite diagnosticar, de maneira rápida e confiável, a
utilização de determinadas ferramentas ou técnicas
específicas de ataque, auxiliando os gerentes a
verificarem as correções necessárias.
Prof. Gleyson
Desvantagens:
como o método é baseado em assinaturas, a detecção
só ocorre para ataques conhecidos, por isso mesmo

não permite detectar variações de um mesmo ataque,
pois as assinaturas são utilizadas com muita rigidez;
faz-se necessária a manutenção freqüente na base de
dados que contém as assinaturas.
Prof. Gleyson
Analista Judiciário – Informática – STJ/2004 – CESPE
Prof. Gleyson
Analista Redes – SERPRO/2004 – CESPE
Prof. Gleyson
IDS – Classificação Quanto à
Arquitetura
Outro aspecto importante em um IDS é a sua arquitetura,
pois uma arquitetura bem elaborada é um dos fatores que
irão determinar o cumprimento adequado de seu papel.
Dois elementos influenciam diretamente na arquitetura: a
localização e o alvo.
O alvo diz respeito ao sistema que ele irá analisar, se um
Host ou um Segmento de Rede.
A localização diz respeito à forma com que os
componentes do IDS irão se relacionar, podendo ser
centralizada, hierárquica ou distribuída.
Prof. Gleyson
Localização
Centralizado: na arquitetura centralizada, todos os
componentes do IDS estão localizados no mesmo
equipamento.
Hierárquico: nesta arquitetura os componentes
encontram-se parcialmente distribuídos, isto é, em
equipamentos separados, cada um com sua função
específica, porém com fortes relações de hierarquia entre
eles. Nesse tipo de arquitetura, tarefas como a tomada de
decisões fica normalmente concentrada em um único
ponto.
Prof. Gleyson
Localização
Distribuído: possui todos os seus componentes
espalhados pelo sistema, com relações mínimas de
hierarquia entre eles, não existe centralização de decisões,
os componentes trabalham em regime de cooperação para
alcançar o objetivo comum de detectar um intruso.
Geralmente utilizados na segmentação de links com grande
largura de banda, de tal forma que nenhum pacote seja
descartado pelos sensores.
Prof. Gleyson
IDS – Classificação Quanto ao
Alvo (HIDS)
Quando o Sistema de Detecção é baseado em host,
dizemos que ele é um HIDS (Host Instrusion Detection
System).
Nele, o software IDS é instalado na mesma máquina em
que se deseja realizar a detecção.
Seu princípio de funcionamento está baseado em verificar
os:
parâmetros de utilização de recursos do sistema;
registros de log do sistema operacional e dos
aplicativos;
Prof. Gleyson
Alvo (HIDS)
(Cont.):
registros de auditoria do sistema;
níveis de utilização de CPU e memória;
arquivos de sistema;
chaves de Registros;
portas ativas, entre outros.
Prof. Gleyson
Alvo (NIDS)
Aos sistemas baseados em um segmento de rede se dá o
nome de NIDS (Network Intrusion Detection System) e
têm como fonte de eventos pacotes de dados trafegando
pela rede, seja de cabeamento físico ou wireless.
Seu princípio de funcionamento está baseado em:
verificar eventos intrusivos cujo alvo seja qualquer
sistema que esteja no segmento de rede por ele
analisado;
Prof. Gleyson
Alvo (NIDS)
(Cont.):
aplicar mecanismos de proteção específicos para o IDS
como, por exemplo, não configurar endereço IP na
interface de rede utilizada pelo sensor;
colocar a placa de rede do sensor em modo promíscuo
para capturar todo o tráfego na qual ela esteja
conectada.
Prof. Gleyson
IDS – Comportamento Pós-
Detecção
Os IDS podem se comportar de duas maneiras distintas:
passiva e ativa.
Passivo:
apenas detecta, mas não barra o ataque;
após detecção, um evento é gerado e encaminhado ao
gerente, deixando com que o administrador do sistema
possa tomar a decisão;
Falsos Positivos são interpretados pelo administrador,
diminuindo seus efeitos na rede.
Prof. Gleyson
IDS – Comportamento Pós-
Detecção
Ativo:
ao detectar um ataque, ele próprio, segundo
configurações realizadas pelo administrador do sistema,
realizará contramedidas automaticamente;
processos automatizados sem a intervenção do
administrador;
Falsos Positivos podem gerar grandes problemas na
rede como um todo, tornando-se muito perigoso.
Prof. Gleyson
Agente Técnico – Analista de Rede – MPE-AM/2008 – CESPE
Prof. Gleyson
VPN
O conceito de rede privada virtual (Virtual Private
Network – VPN) surgiu a partir da necessidade de se
utilizar redes de comunicação não confiáveis. Ex: trafegar
informações de forma segura na Internet.
Uma VPN proporciona conexões somente permitidas a
usuários, que estejam em redes distintas e que façam
parte de uma mesma comunidade.
Solução para alto custo de enlaces de comunicação
dedicados e privados.
Prof. Gleyson
VPN
Prof. Gleyson
VPN - Fundamentos
Os conceitos que fundamentam a VPN são a criptografia e
o tunelamento.
A criptografia é utilizada para garantir a autenticidade, o
sigilo e a integridade das conexões, e é a base da
segurança dos túneis VPN.
Trabalhando na camada 3 do modelo OSI/ISO, a
criptografia é independente da rede e da aplicação,
podendo ser aplicada em qualquer forma de comunicação
possível de ser roteada, como voz, vídeo e dados.
Prof. Gleyson
VPN - Fundamentos
O túnel VPN é formado pelo tunelamento que permite a
utilização de uma rede pública para o tráfego das
informações, até mesmo de protocolos diferentes do IP,
por meio da criação de um túnel virtual formado entre as
duas partes da conexão.
Prof. Gleyson
VPN - Tunelamento
Prof. Gleyson
VPN - Tunelamento
O conceito de tunelamento foi utilizado, inicialmente, com o
objetivo de possibilitar a comunicação entre organizações
que utilizam um determinado protocolo, empregando um
meio que tem como base um outro protocolo diferente. Ex:
IPX trafegando em rede IP.
Pode ser realizado nas camadas 2 e 3, e as duas possuem
vantagens e desvantagens.
Túnel é a denominação do caminho lógico percorrido pelos
pacotes encapsulados.
Simula a conexão ponto-a-ponto requerida para a
transmissão de pacotes através de uma rede pública.
Prof. Gleyson
VPN – Tipos de Túneis
Os túneis podem ser criados de duas diferentes formas -
voluntárias e compulsórias.
No túnel voluntário, o computador do usuário funciona
como uma das extremidades do túnel e, também, como
cliente do túnel.
Ele emite uma solicitação VPN para configurar e criar um
túnel entre duas máquinas, uma em cada rede privada, e
que são conectadas via Internet.
No túnel compulsório, o computador do usuário não
funciona como extremidade do túnel.
Prof. Gleyson
VPN – Tipos de Túneis
Um servidor de acesso remoto, localizado entre o
computador do usuário e o servidor do túnel, funciona
como uma das extremidades e atua como o cliente do
túnel.
Utilizando um túnel voluntário, no caso da Internet, o
cliente faz uma conexão para um túnel habilitado pelo
servidor de acesso no provedor (ISP).
No tunelamento compulsório com múltiplos clientes, o
túnel só é finalizado no momento em que o último usuário
do túnel se desconecta.
Prof. Gleyson
VPN – Túnel Voluntário
Prof. Gleyson
VPN – Túnel Compulsório
Prof. Gleyson
VPN – Protocolos de
Tunelamento
Diferentes protocolos podem ser usados:
GRE (Generic Routing Encapsulation) da Cisco;
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force);
PPTP (Point-to-Point Tunneling Protocol) da Microsoft.
Os protocolos PPTP e L2TP são utilizados em VPNs
discadas, ou seja, proporcionam o acesso de usuários
remotos acessando a rede corporativa através de modens
de um provedor de acesso.
Prof. Gleyson
Tunelamento
Um ponto a ser considerado nos dois protocolos é que o
sigilo, a integridade e a autenticidade dos pontos que se
comunicam devem ser fornecidos por um outro protocolo,
o que é feito normalmente pelo IPSec.
Uma diferença entre o L2TP e o PPTP é que o L2TP pode
ser transparente para o usuário, no sentido de que esse
tipo de tunelamento pode ser iniciado no gateway de VPN
de um provedor de VPN.
Quando o PPTP é utilizado, a abordagem é diferente o
tunelamento é sempre iniciado no próprio equipamento do
usuário.
Prof. Gleyson
Tunelamento
Com isso, o PPTP é mais indicado para a utilização em
laptops, por exemplo, quando o usuário poderá se conectar
à rede da organização via VPN, por meio desse protocolo.
O L2TP é utilizado, principalmente, para o tráfego de
protocolos diferentes de IP sobre uma rede pública com
base em IP.
Prof. Gleyson
VPN – IPSec
O IPSec é um protocolo padrão de camada 3 projetado
pelo IETF que oferece transferência segura de informações
fim a fim através de rede IP pública ou privada.
Essencialmente, ele pega pacotes IP privados, realiza
funções de segurança de dados como criptografia,
autenticação e integridade, e então encapsula esses
pacotes protegidos em outros pacotes IP para serem
transmitidos.
As funções de gerenciamento de chaves também fazem
parte das funções do IPSec.
Prof. Gleyson
VPN – IPSec
Tal como os protocolos de nível 2, o IPSec trabalha como
uma solução para interligação de redes e conexões via
linha discada.
Ele combina diversas tecnologias diferentes de segurança
em um sistema completo que provê confidencialidade,
integridade e autenticidade, empregando atualmente:
mecanismo de troca de chaves de Diffie-Hellman;
criptografia de chave pública para assinar as trocas de
chave de Diffie-Hellman, garantindo assim a identidade
das duas partes e evitando ataques do tipo man-in-the-
middle;
Prof. Gleyson
VPN – IPSec
(Cont.):
algoritmos de encriptação para grandes volumes de
dados, como o DES (Data Encryption Standard);

algoritmos para cálculo de hash com utilização de
chaves, com o HMAC, combinado com os algoritmos de

hash tradicionais como o MD5 ou SHA, autenticando os
pacotes;
certificados digitais assinados por uma autoridade
certificadora.
Prof. Gleyson
VPN – IPSec
Os requisitos de segurança podem ser divididos em 2
grupos, que são independentes entre si, podendo ser
utilizados de forma conjunta ou separada, de acordo com a
necessidade de cada usuário:
Autenticação e Integridade;
Confidencialidade.
Prof. Gleyson
VPN – IPSec
Para implementar estas características, o IPSec é composto
de 3 mecanismos adicionais:
AH - Autentication Header;
ESP - Encapsulation Security Payload;
IKE - Internet Key Exchange.
Prof. Gleyson
VPN – IPSec
Authentication Header (AH): este cabeçalho, ao ser
adicionado a um datagrama IP, garante a integridade e
autenticidade dos dados, incluindo os campos do cabeçalho
original que não são alterados entre a origem e o destino;
no entanto, não fornece confidencialidade.
Encapsulating Security Payload (ESP): este cabeçalho
protege a confidencialidade, integridade e autenticidade da
informação.
Prof. Gleyson
VPN – IPSec
AH e ESP podem ser usados separadamente ou em
conjunto, mas para a maioria das aplicações apenas um
deles é suficiente.
Há dois modos de operação: modo de transporte (nativo) e
modo túnel.
Prof. Gleyson
VPN – IPSec
Cabeçalho genérico para o modo de transporte
Exemplo de um cabeçalho do modo túnel
Prof. Gleyson
VPN – IPSec – Modo
Transporte
No modo de transporte, somente a informação (payload) é
encriptada, enquanto o cabeçalho IP original não é
alterado.
Este modo tem a vantagem de adicionar apenas alguns
octetos a cada pacote, deixando que dispositivos da rede
pública vejam a origem e o destino do pacote, o que
permite processamentos especiais (como de QoS)
baseados no cabeçalho do pacote IP.
No entanto, o cabeçalho da camada 4 (transporte) estará
encriptado, limitando a análise do pacote.
Prof. Gleyson
VPN – IPSec – Modo
Transporte
Passando o cabeçalho sem segurança, o modo de
transporte permite que um atacante faça algumas análises
de tráfego, mesmo que ele não consiga decifrar o
conteúdo das mensagens.
Prof. Gleyson
VPN – IPSec – Modo Túnel
No modo de tunelamento, todo o datagrama IP original é
encriptado e passa a ser o payload de um novo pacote IP.
Este modo permite que um dispositivo de rede, como um
roteador, aja como um Proxy IPSec (o dispositivo realiza a
encriptação em nome dos terminais).
O roteador de origem encripta os pacotes e os envia ao
longo do túnel IPSec; o roteador de destino decripta o
datagrama IP original e o envia ao sistema de destino.
Prof. Gleyson
VPN – IPSec – Modo Túnel
A grande vantagem do modo de tunelamento é que os
sistemas finais não precisam ser modificados para
aproveitarem os benefícios da segurança IP; além disto,
esse modo também protege contra a análise de tráfego, já
que o atacante só poderá determinar o ponto de início e de
fim dos túneis, e não a origem e o destino reais.
Prof. Gleyson
VPN – IPSec – Associações de
Segurança (SAs)
O IPSec fornece diversas opções para executar a
encriptação e autenticação na camada de rede.
Quando dois nós desejam se comunicar com segurança,
eles devem determinar quais algoritmos serão usados (se
DES ou IDEA, MD5 ou SHA).
Após escolher os algoritmos, as chaves de sessão devem
ser trocadas.
Associação de Segurança é o método utilizado pelo
IPSec para lidar com todos estes detalhes de uma
determinada sessão de comunicação.
Prof. Gleyson
Segurança (SAs)
Uma SA representa o relacionamento entre duas ou mais
entidades que descreve como estas utilizarão os serviços
de segurança para se comunicarem.
As SAs são unidirecionais, o que significa que para cada
par de sistemas que se comunicam, devemos ter pelo
menos duas conexões seguras, uma de A para B e outra
de B para A.
As SAs são identificadas de forma única pela associação
entre um número aleatório chamado SPI (Security
Parameter Index) e o endereço IP de destino.
Prof. Gleyson
Segurança (SAs)
Quando um sistema envia um pacote que requer proteção
IPSec, ele olha as SAs armazenadas em seus banco de
dados, processa as informações, e adiciona o SPI da SA no
cabeçalho IPSec.
Quando o destino IPSec recebe o pacote, ele procura a SA
em seus banco de dados de acordo com o endereço de
destino e SPI, e então processa o pacote da forma
necessária.
Prof. Gleyson
VPN – Protocolo de
Gerenciamento de Chaves (IKMP)
O IPSec assume que as SAs já existem para ser utilizado,
mas não especifica como elas serão criadas.
IETF decidiu dividir o processo em duas partes: o IPSec
fornece o processamento dos pacotes, enquanto o IKMP
negocia as associações de segurança.
Após analisar as alternativas disponíveis, o IETF escolheu
o IKE como o método padrão para configuração das SAs
para o IPSec.
Prof. Gleyson
VPN – Protocolo de
Gerenciamento de Chaves (IKMP)
Uso do IKE pelo IPSec
Prof. Gleyson
Analista de Sistemas Junior – Infraestrutura – PETROBRAS/2007 –
CESPE
Prof. Gleyson
Agente Técnico – Analista de Rede – MPE-AM/2008 – CESPE
Prof. Gleyson
Analista do Seguro Social – Ciência da Computação – INSS/2008 –
CESPE
Prof. Gleyson
Analista do Seguro Social – Ciência da Computação – INSS/2008 –
CESPE
Prof. Gleyson
Gabarito das Questões
Slide / Resposta Slide / Resposta Slide / Resposta
18. 1C-2C-E 72. 1C-2C 155. 1E-2C-3E-
30. 1C-2E-3E-4E-5C 73. B 4E
55. 1E-2E-3E-4E 110. 1C-2C-3E-4E
56. 1C-2E-3C-4C 111. 1E-2C-3C-4C
57. 1E-2E-3C-4E 121. 1C-2C-3E-4E-5E
58. D 152. 1C-2C-3C-4C-5C
59. 1C-2C-3C-4E-5E 153. 1C-2C-3E-4E-5E
Prof. Gleyson

Mecanismos de Segurança IMP

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mecanismos de Segurança IMP

Transféré par

Droits d'auteur :

Formats disponibles

Curso Perito PF

Prof. M.Sc. Gleyson Azevedo

Suporte AAA Separa os três serviços Combina autenticação

Pergunta/Resposta Bidirecional Unidirecional (somente

Inside GATEWAY Outside

há um número limitado de serviços que podem ser

os clientes de cada rede irão enviar suas requisições

receber as solicitações de serviço oriundas apenas dos

DMZ é de pai para filho ou seja, o filho deve solicitar

aplicações utilizadas na rede;

serviços ativos no sistema;

endereços IP que trafegam pela rede, etc.

esse método leva a um maior número de falsos

não informando dados conclusivos da vulnerabilidade

só ocorre para ataques conhecidos, por isso mesmo

dados que contém as assinaturas.

dados, como o DES (Data Encryption Standard);

chaves, com o HMAC, combinado com os algoritmos de

Cabeçalho genérico para o modo de transporte

Exemplo de um cabeçalho do modo túnel

Uso do IKE pelo IPSec

Vous aimerez peut-être aussi

Mecanismos de Segurança IMP

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mecanismos de Segurança IMP

Transféré par

Droits d'auteur :

Formats disponibles

Curso Perito PF

Prof. M.Sc. Gleyson Azevedo

Suporte AAA Separa os três serviços Combina autenticação

Pergunta/Resposta Bidirecional Unidirecional (somente

Inside GATEWAY Outside

 há um número limitado de serviços que podem ser

os clientes de cada rede irão enviar suas requisições

receber as solicitações de serviço oriundas apenas dos

DMZ é de pai para filho ou seja, o filho deve solicitar

 aplicações utilizadas na rede;

 serviços ativos no sistema;

 endereços IP que trafegam pela rede, etc.

esse método leva a um maior número de falsos

não informando dados conclusivos da vulnerabilidade

só ocorre para ataques conhecidos, por isso mesmo

dados que contém as assinaturas.

dados, como o DES (Data Encryption Standard);

chaves, com o HMAC, combinado com os algoritmos de

Cabeçalho genérico para o modo de transporte

Exemplo de um cabeçalho do modo túnel

Uso do IKE pelo IPSec

Vous aimerez peut-être aussi

há um número limitado de serviços que podem ser

aplicações utilizadas na rede;

serviços ativos no sistema;

endereços IP que trafegam pela rede, etc.