Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Segurança em Roteadores

No description
by

Bruno Bopp

on 27 September 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Segurança em Roteadores

Bruno Bopp - bopp.moura@gmail.com Segurança em Roteadores O que veremos... Ligação entre os domínios, através da transferência de pacotes entre os segmentos de rede Roteadores - Host (nó) que possui mais de uma interface de rede IGP - Interior Gateway Protocols Tradução de endereços -NAT Protocolos de roteamento O que são roteadores? Protocolos de roteamento... Ameaças... Medidas de segurança... Técnicas de defesa... Utilizado para conexões entre roteadores de sistemas autônomos diferentes EGP - Exterior Gateway Protocols Funções Criação e gerenciamento de tabelas de roteamento Primeira linha de defesa de uma rede Controle de fluxo e filtro de pacotes Cálculo do melhor caminho para um pacote percorrer entre o remetente e o destinatário Roteadores Trabalha na camada de rede Pega um pacote recebido por uma de suas interfaces e analisa o IP do pacote: O envia ao destino, se o mesmo estiver ao alcance Envia o pacote para o próximo roteador Descarta o pacote, caso o mesmo não contenha nenhuma informação sobre o destino Roteadores - Funções Proxy Tunelamento São divididos em dois grupos: IGP - Interior Gataway Protocol EGP - Exterior Gateway Protocol Utilizado para comunicação entre roteadores dentro de um mesmo sistema autônomo Sistema autônomo Roteador Roteador Protocolo IGP Sistema autônomo Roteador Roteador Protocolo IGP Sistema autônomo Roteador Roteador Protocolo IGP Protocolo EGP IGP IGP Protocolo OSPF - Open shortest path first Utiliza o algoritmo link state routing protocol Cada nó possui a capacidade de descobrir o estado do link para os seus vizinhos e também o custo de cada link Protocolo OSPF - Open shortest path first As informações de link são enviadas pelo roteador para todos os seus vizinhos Essa informação é disseminada por toda à rede de roteadores: "Floating" Protocolo OSPF - Open shortest path first Criptografia pode ser utilizada para proteger as informações trocadas entre os roteadores Protocolo OSPF - Open shortest path first Cria uma topologia global de rede interna em três fases: - Estabelecer conexão com os vizinhos - Troca de informação via LSA Floading - Cálculo da menor rota, via Link State Database Protocolo BGP-4 - Boarder Gataway Protocol Segurança OSPF Independência na troca de mensagem entre roteadores Hierarquia de roteamento Mecanismo de autenticação Assinatura digital Vulnerabilidades OSPF Proteção via Hash Protocolo OSPF - Open shortest path first Define seus roteadores em quatro categorias: - Internal Router: Possui interfaces apenas dentro do sistema autonomo - Area Border Router: Conecta subnets à área de backbone do sistema autonomo - Backbone Router: Possui uma interface conectada ao backbone, e com conexão a outras áreas - Boundary Router: Troca informações com roteadores de outro sistema autônomo - Internal Router: Podem gerar informações falsas devido a má configuração ou bugs no sistema. Possibilitando a tomada de controle do roteador pelo invasor - Area Border Router: Falsas informações podem ser injetadas nos relatórios enviados pelo roteador para o backbone. Mas as informações podem ser checadas com os relatórios enviados pelos outros roteadores - Boundary Router: Falsas informações também podem ser injetadas nos relatórios. Sem a possibilidade de comparação Protocolo IGP Protocolo EGP É o protocolo utilizado para efetuar a ligação entre os sistemas autônomos Suporta endereços agregados: CIDR Utiliza o protocolo TCP para o tráfego de informações Protocolo BGP-4 - Boarder Gataway Protocol O sistema BGP possui quatro componentes básicos: - Speaker: Sistema/roteador que responde por um AS - Peers: Comunicação entre dois speakers - Links: Conexão entre peers BGP - Boarder Routers: Similares aos speakers, mas necessariamente precisam ser roteadores Vulnerabilidades BGP Dificuldade de verificação de autenticidade e autorização do tráfego BGP Possui quatro tipos básicos de invasores: Vulnerabilidades BGP Adulteração de BGP speakers BGP speakers não autorizados Masquerading BPG speakers Links adulterados Vulnerabilidades BGP Adulteração de speakers: Ocorre quando um speaker autorizado é forçado a violar o protocolo BGP ou reinvidicar autoridade de recursos de rede de forma inapropriada Speakers não autorizados: Ocorre quando um nó que não é definido como um speaker obtém acesso aos mecanismos de controle e estabelece um link com um speaker autorizado Vulnerabilidades BGP Masquerading de speakers: Ocorre quando um nó consegue forjar a indentidade de um speaker BGP autorizado Links adulterados: Ocorrem de diversas maneiras, comprometendo protcolos de camadas inferiores ou por session hijacking Segurança BGP Criptografia Peer-to-Peer Mensagem de número sequencial Update de número sequencial Update de mensagem de autenticação digital Segurança BGP - Para cada link estabelecido, uma chave criptográfica é gerada para garantir a confidencialidade da comunicação - A cada mensagem trocada, um número de sequencia é inserido e incrementado - A cada atualização de mensagem, um número sequencial é inserido - Os campos não adulterados das mensagens de updates são assinados pelo speaker remetente Ameaças ao tráfego de roteamento Modificação de pacotes Fabricação de pacotes Duplicação de pacotes Descarte de pacotes Medidas básicas de segurança Autenticação e controle de quem possui acesso aos dispositivos de infraestrutura Restringir o acesso lógico a hosts específicos Permitir acesso remoto apenas via SSH Proteger o acesso lógico aos roteadores com a utilização de passwords Nunca manter o password padrão! Medidas básicas de segurança Desabilitar interfaces não utilizadas Desabilitar serviços não utilizados Testar dispositivos regularmente Perguntas?
Full transcript