Professional Documents
Culture Documents
Criptografia e Quebra de Senhas. Autenticao de Mensagens. Chave Pblica e Assinaturas Digitais Segurana na Camada de Transporte Funcionamento de uma VPN Protocolos para VPN Implementao de VPN com OpenVpn
andre.his@gmail.com
Cifras de substituio
Cada smbolo da mensagem substitudo por um outro smbolo
Ex:
Alfabeto original: a b c d e f g h i j k l m n o p q r s t u v w x y z Alfabeto cifrado: Q W E R T Y U I O P A S D F G H J K L Z X C V B N M Plaintext andre Ciphertext QFRKT
andre.his@gmail.com
Protocolos de Autenticao
Password Authetication Protocol (PAP) Mtodo Two-Party , ou seja , baseado em entre duas entidades (validao mtua) Utiliza o protocolo PPP (ponto-a-ponto), geralmente usado em conexes discadas, no qual a senha enviada a um NAS (Servio de Autenticao da Rede)
andre.his@gmail.com
PAP: Mensagens
Mensagens trocadas durante autenticao PAP: 1. O cliente remoto estabelece o enlace; 2. O cliente remoto informa ao servidor que esta usando PPP; 3. O servidor configurado para usar o PAP, notifica o cliente para usar PAP na sesso; 4. O cliente envia nome de usurio e senha no formato PAP 5. O Servidor valida as informaes , com as armazenadas no banco de dados.
andre.his@gmail.com
PAP: Caractersticas
Atua em nvel de enlace; No possui criptografia no envio do nome do usurio e senha para o NAS; A autenticao feita somente no incio da conexo; No possui controle sobre o nmero de tentativas de conexo; No oferece proteo contra ataques de reproduo ou tentativas de erros repetidos.
andre.his@gmail.com
Mtodo tambm utilizado pelo protocolo PPP; Mtodo mais complexo que o PAP, porque a senha real do usurio no atravessa o canal de autenticao; um mtodo bastante utilizado em ambientes Linux.
andre.his@gmail.com
CHAP - Autenticao
Autenticao: Handshake de trs vias, em que ocorre aps o estabelecimento do LINK: 1. O servidor NAS configurado para utilizar PPP e CHAP; 2. O Servidor NAS notifica o cliente para usar CHAP na sesso; 3. O cliente responde OK; 4. O cliente responde OK. 5. O Handshake ocorre: Servidor NAS envia um desafio (pergunta) Cliente responde (funo hash md5) Servidor valida resposta do cliente.
andre.his@gmail.com
CHAP - Autenticao
Autenticao: Handshake de trs vias, em que ocorre aps o estabelecimento do LINK: 1. O servidor NAS configurado para utilizar PPP e CHAP; 2. O Servidor NAS notifica o cliente para usar CHAP na sesso; 3. O cliente responde OK; 4. O cliente responde OK. 5. O Handshake ocorre: Servidor NAS envia um desafio (pergunta) Cliente responde (funo hash md5) Servidor valida resposta do cliente.
andre.his@gmail.com
CHAP - Caractersticas
Depende de um segredo conhecido apenas pelo servidor e cliente;
A autenticao pode ser repetida durante a conexo com o envio de diferentes desafios;
As senhas dos usurios no so armazenadas criptografadas no servidor; (ponto falho) Os dados enviados entre o cliente e o servidor so criptografados;
Possui a finalidade de apenas permitir ou negar acesso a rede, no permitindo definir nveis de permisses para determinados usurios.
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
Quanto ao tipo de cifra utilizada Operaes utilizadas para transformao do texto simples para o cifrado (substituio e transposio) Quanto a simetria das chaves utilizadas Criptografia Simtrica e Assimtrica Modo de Operao da Cifra Cifra de Bloco e Cifra de Fluxo
andre.his@gmail.com
Criptografia Simtrica
Chave de decifragem igual a chave de cifragem; Os algoritmos so eficientes (rpidos) Algoritmos de conhecimento pblico Segurana reside na chave
andre.his@gmail.com
Bastante rpido.
Tripe Data Encryption Standard 3DES: Adaptao do DES para torn-lo mais forte;
andre.his@gmail.com
Criptografia Assimtrica
Cada usurio possui um par de chaves Algoritmo de gerao das chaves A chave privada mantida em segredo A chave pblica divulgada Repositrio com chaves pblicas (cartrio) Cifragem feita com a chave pblica do destinatrio Decifragem feita com a chave privada do destinatrio
andre.his@gmail.com
Criptografia Assimtrica
andre.his@gmail.com
andre.his@gmail.com
Certificao Digital
Documento eletrnico Composto pela chave pblica de uma entidade, entre outros dados
Entidade final: Chave de 1024 bits
Certificao Digital
Documento eletrnico Composto pela chave pblica de uma entidade, entre outros dados
Entidade final: Chave de 1024 bits
Certificao Digital
Justificativa:
necessrio que o usurio tenha certeza de que a chave pblica que est utilizando autntica.
Certificado Digital - arquivo digital que contm as informaes necessrias identificao de um indivduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pblica; Principal funo de um certificado vincular uma chave pblica ao nome de um protagonista (indivduo, empresa, etc.).
andre.his@gmail.com
Certificao Digital
Justificativa:
necessrio que o usurio tenha certeza de que a chave pblica que est utilizando autntica.
Certificado Digital - arquivo digital que contm as informaes necessrias identificao de um indivduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pblica; Principal funo de um certificado vincular uma chave pblica ao nome de um protagonista (indivduo, empresa, etc.).
andre.his@gmail.com
Contratos digitais
Certificao de Equipamentos Certificao de Programas de Computador
Obteno de um Certificado
Cliente gera um par de chaves pblica e privada (por exemplo, usando RSA); Envia-se um pedido de certificado para a Autoridade de Registro;
AR (Autoridade Regional de Registro) faz a prova de existncia do requisitante e retransmite o pedido para a AC; AC assina e envia o certificado;
Usurio instala seu certificado; Usurio divulga o certificado.
andre.his@gmail.com
Uma ICP pode ser definida como um conjunto de hardware, software, pessoas, polticas e procedimentos necessrios criao, gerenciamento, armazenamento, distribuio e revogao de certificados, baseados em criptografia de chave pblica.
andre.his@gmail.com
andre.his@gmail.com
Exemplo de Certificado
andre.his@gmail.com
Autoridade de Registro
Interface com as entidades Verificao de dados
Nvel de confiana
andre.his@gmail.com
Responsvel pela emisso, publicao e renovao de certificados Responsvel ainda pela revogao de certificados
Criao e distribuio da LCR
ICP - Brasil
ICP-Brasil Regulamentao da certificao digital no Brasil http://www.iti.gov.br/ Conjunto de normas Compatibilidade entre os tipos de certificados Compatibilidade com outras normas existentes Instituda em 2001 Criao do comit gestor, da AC-Raiz e outras entidades Incoorporao de novas resolues Auditoria das entidades Verificao de aptido Verificao da execuo de procedimentos previstos
andre.his@gmail.com
andre.his@gmail.com
2: Gerar a chave pblica: #openssl rsa -in rsaprivatekey.pem -pubout out rsapublickey.pem
L a chave privada RSA do arquivo rsaprivatekey.pem, descriptografa a chave privada com a senha senha e cria a chave pblica correspondente no arquivo rsapublickey.pem.
andre.his@gmail.com
openssl rsautl -encrypt -pubin -inkey rsapublickey.pem -in arquivo1.txt -out arquivo1Cifrado.txt
andre.his@gmail.com
Exerccios
1. Gerar par de chaves e certificados..
andre.his@gmail.com
Segurana na Comunicao
Exemplos de Protocolos/Padres seguros: SSL (Secure LayerSecure Sockets Layer) / TLS (Transport Layer Security); IPSec (Internet Protocol Security) / IPv6 (Internet Protocol version 6); SET (Secure Electronic Transactions);
andre.his@gmail.com
Segurana na Comunicao
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
Certificado X.509
andre.his@gmail.com
SSL/TLS
Protocolo aberto Submetido a W3C (World Wide Web Consortium) Padronizao pela IETF em 1999 TLS (Transport Layer Security) RFC 2246 2006: Verso 1.1 (RFC 4346) Existem algumas diferenas OpenSSL Implementao dos dois protocolos
andre.his@gmail.com
SSL/TLS
Interoperabilidade
Escalabilidade
Uso de vrios algoritmos criptogrficos
Eficincia
Arquitetura
andre.his@gmail.com
SSL/TLS: Etapas
Estabelecimento de um conexo (Handshake Layer) Negociao de parmetros Escolha da verso do protocolo e os algoritmos Compartilhamento da chave de sesso Possibilidade de autenticao mtua Transmisso segura de dados (Record Layer) Autenticidade e integridade Adio de um HMAC Confidencialidade Cifragem das mensagens Opcional: Compactao de dados
andre.his@gmail.com
SSL/TLS: Handshake
andre.his@gmail.com
Consideraes: SSL/TLS
Possibilidade de vrias conexes por sesso Recomendaes
Utilizar apenas SSLv3 ou TLS
SSL/TLS: Limitaes
No protege dados locais Disponibilidade do meio Restries de exportao Outras limitaes
Como saber se uma loja virtual (servidor) um estabelecimento de confiana Como saber se o cliente (mesmo que autenticado) no estar utilizando um carto roubado
andre.his@gmail.com
Foi desenvolvido para atuar junto aos protocolos de transporte do WAP,com a caracterstica de ser otimizado para canais banda limitada, como por exemplo, a telefonia celular.
andre.his@gmail.com
Permite a comunicao privada de uma empresa utilizando uma rede de comunicao pblica (Internet)
Interligao de duas redes por meio de um tnel virtual Elimina a necessidade de links dedicados de longa distncia Interligar unidades de uma empresa
IPSec IPv6
Funcionamento Bsico - VPN Ao invs dos pacotes trafegarem livremente na Internet, antes de serem transmitidos, os dados so primeiramente autenticados e criptografados (chaves pblicas e privadas), e em seguida os dados so encapsulados em pacotes IP pelo protocolo do tnel VPN.
andre.his@gmail.com
Tunelamento - VPN
Tunelamento o processo de encapsular um tipo de pacote dentro de outro para facilitar algum tipo de vantagem no transporte de uma informao na rede. Processo de tunelamento: Autenticao pelo servidor Gateway VPN; A informao criptografada; As informaes so encapsuladas em pacotes IP (o gateway VPN acrescenta um novo cabealho IP, contendo o endereo do Gateway VPN de origem e destino, encapsulando o pacote IP original.)
andre.his@gmail.com
Tunelamento Compulsrio (Gateway-to-gateway): ocorre quando existe um servidor de autenticao para acesso a Rede. Neste caso, o estabelecimento do tnel VPN com o servidor VPN do site remoto e a configurao de autenticao so de responsabilidade dele.
andre.his@gmail.com
andre.his@gmail.com
Protocolos VPN
PPTP (Point-to-Point Tunneling Protocol): protocolo da Microsoft que atua na camada 2 do modelo OSI, aceita tunelamento e autenticao do usurio, sendo bastante utilizado para o encapsulamento de pacotes PPP, que empregado em conexes discadas. O PPTP permite autenticao usando o CHAP, MS-CHAP ou EAP;
O protocolo PPTP permite o estabelecimento de tneis pontoa-ponto individuais a partir de um cliente remoto.
andre.his@gmail.com
Protocolos VPN
L2TP (Layer 2Tunneling Protocol): protocolo definido pela Internet Engineering Task Force (IETF), tem como base um outro protocolo chamado Layer 2 Forwarding - L2F da Cisco Systems, apresenta as mesmas caractersticas do PPTP com exceo de poder ser transparente ao usurio; Caractersticas: Tnel multiponto (um cliente inicialize vrias VPNs); Suporte a qualquer protocolo roteado como: IP, IPX, Appetalk) e qualquer tecnologia e protocolo de backbone WAN (ATM, X.25, Frame-Relay, SO-NET).
andre.his@gmail.com
Protocolos VPN
IPSec (IP Security Protocol) Conjunto de ferramentas para prov segurana na camada de rede Garantir a segurana entre duas mquinas na Internet Pode ser implementado nos roteadores ou nos sistemas operacionais terminais Interoperabilidade: os pacotes enviados possuem o mesmo formato de um pacote IP comum
andre.his@gmail.com
IPSEC
Prov Confidencialidade Integridade Autenticidade Proteo de ataques de Replay Utiliza Protocolo de Diffie-Hellman Criptografia de chave pblica Criptografia simtrica Algoritmos de hash
andre.his@gmail.com
IPSEC (2)
Funcionamento Encapsulamento de um pacote IPSec em um pacote IP
Modo de transporte
Vantagens: Adio apenas do cabealho IPSec Permite uso de QoS Desvantagem: Permite anlise de trfego
andre.his@gmail.com
IPSEC (3)
Funcionamento Encapsulamento de um pacote IPSec em um pacote IP Tunelamento
andre.his@gmail.com
IPSEC (5)
Cabealhos adicionados ao pacote IP ESP (Encapsulating Security Payload)
Confidencialidade de um pacote
Modo CBC dos algoritmos: DES, 3DES, Blowfish, IDEA, RC4
andre.his@gmail.com
IPSEC (6)
Associao de Segurana (SA) uma conexo simplex entre dois pontos Identificada pelo SPI (ndice de parmetro de segurana), o endereo IP do destino e o identificador do protocolo (AH ou ESP) SPI identifica o conjunto de protocolos que ser utilizado Protocolo IKE (Internet Key Exchange) 1a Fase: Autenticao Chaves compartilhadas, assinatura digital 2a Fase: Negociar parmetros para criar uma SA Troca de chaves assinadas (Diffie-Hellman) No obrigatrio e pode ser utilizado outro protocolo
andre.his@gmail.com
Aplicao IPSEC
andre.his@gmail.com
IPSEC: Vantagens
Transparente Sub-Rede implementao do IPSec somente na origem e destino; Simplicidade no h necessidade de configurar as estaes ou aplicaes para trabalhar com IPSEC; Flexibilidade pode-se proteger determinado tipo de trfego e deixar que outro tipo de trfego circule sem a ao dos servios de segurana oferecidos pelo IPSEC; Fcil manuteno e implementao implementao nos roteadores e gateways;
andre.his@gmail.com
IPSEC: Limitaes
O IPSec no pode ser seguro se o sistema no for segurana nas mquinas que implemetam gateways IPSec; IPSec no fim-a-fim informaes do prprio host ou em um segmento interno da rede pode no esta protegido;
O IPSec autentica mquinas, no usurios - exemplo: controlar acesso ao banco dados, deve-se usar outro mecanismo;
O IPSec no previne ataques DoS necessrio a utilizao de um firewall juntamente com o IPSec; O IPSec no evita anlise do trfego de rede os endereos destino e origem dos gateways e o tamanho do pacote, podem ser monitorados.
andre.his@gmail.com
OPENVPN Vantagens
Implementao mais simplificada que IPSec (roteadores) Suporta o Nat Tunelamento IP ou em Modo Bridge Completamente transparente aos usurios Multiplataforma: Linux e Windows
Desvantagens
No um padro de mercado O grau de segurana depende da implementao
andre.his@gmail.com
OPENVPN - Dependncias
Biblioteca OpenSSL Biblioteca LZO
Compresso de Dados;
andre.his@gmail.com
OPENVPN - Instalao
Os passos seguintes de instalao e configurao do OpenVPN devem ser realizados tanto no servidor quanto no cliente. Debian e derivados: # apt-get update # apt-get install openvpn
Windows:
Baixar arquivo http://www.openvpn.net/index.php/opensource/downloads.html e instalar:
andre.his@gmail.com
OPENVPN - Configurao
Depois de instalar o pacote,o prximo passo verificar se o mdulo TUN/TAP do Kernel est carregado, localizando o arquivo tun.ko no caminho lib/modules/2.6.XX/kernel/ drivers/net/ . Esse mdulo utilizado pelo OpenVPN para criar interfaces virtuais. Cada VPN criada se comporta como se fosse uma nova interface de rede, conectada rede de destino.
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
index.txt
serial
andre.his@gmail.com
Depois voc ter a opo de digitar uma senha que ser solicitada toda vez que o usurio conectar VPN, poder deixar em branco: A challenge password []: Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y
andre.his@gmail.com
andre.his@gmail.com
E copiamos para o diretrio criado acima, os seguintes arquivos: dh1024.pem, ca.crt, servervpn.crt, servervpn.key, chave.key.
# cp -a /etc/openvpn/easy-rsa/keys/dh1024.pem ca.crt servervpn.crt servervpn.key chave.key /etc/openvpn/keys/
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
andre.his@gmail.com
Perguntas? Dvidas?
andre.his@gmail.com