Como funciona a criptografia

Como funciona a criptografia?

O único método disponível que oferece proteção tanto no armazenamento, quanto no transporte de informações por uma rede pública ou pela Internet, é a criptografia.

A criptografia é tão antiga quanto a própria escrita. Foi depois da segunda Guerra Mundial, que ela começou a crescer e hoje em dia e largamente usada. A criptografia, formou a base para a computação moderna.

Quando se fala sobre criptografia, fala-se também sobre chaves, pois elas, são quem fecham e abrem a criptografia dos dados, existem dois métodos para se trabalhar com chaves criptográficas, eles são:

Criptografia de chaves simétricas

Esse método, conhecido também como criptografia tradicional, funciona bem em aplicações limitadas, onde o remetente e o destinatário se preparam antecipadamente para o uso da chave.

Para que esse método funcione, todas as pessoas envolvidas devem conhecer a chave, pois quando uma mensagem criptografada chega a caixa de entrada, ela só pode ser aberta por quem possui a chave.

Esse método não é muito eficiente em conexões inseguras, no entanto, quando é utilizado sobre conexões seguras a criptografia simétrica se torna bem eficiente.

Existem vários algoritmos de chaves simétricas, entre elas estão as seguintes:

  • DES (Data Encryption Standard). O DES utiliza uma chave de 56 bits e opera em blocos de 64 bits. Foi projetado inicialmente para ser utilizado em componentes de hardware, nos dias atuais, ele é usado na Internet em conexões Web segura, pois o SSL se utiliza do DES. Ele é um algoritmo seguro para a maioria das aplicações, entretanto, em aplicações altamente secretas, ele não deve ser usado, pois existe o perigo de violação.
  • RC2 e RC4. Mais rápidos do que o DES, esses códigos podem se tornar mais seguros com o simples aumento do tamanho das chaves, O RC2 pode substituir perfeitamente o DES com a vantagem de ser 2 vezes mais rápido, já o RC4 fica 10 vezes mais rápido.
  • IDEA (International Data Encryption Algorithm). Criado em 1991. Ele foi projetado para ser facilmente programado, é forte e resistente a muitas formas de criptoanálise.

Como funciona a criptografia?

Figura 1: A ilustração acima, demostra de forma simples a chave simétrica em funcionamento. A soma da mensagem mais chave gera uma mensagem criptografada, após a geração, ela é enviada através da rede, e ao chegar ao lado oposto, ela é descriptografada através da chave que está no destino.Conclusão, como vantagens temos, o fato de ser facilmente implementado em hardware além da rapidez, e como desvantagem o fato de que as chaves são iguais, é de difícil distribuição, além de não aceitar a assinatura digital.

Criptografia de chaves assimétricas

A criptografia de chave pública ou criptografia assimétrica, foi criada em 1970. Esse método funciona com uma chave para criptografar, e outra para descriptografar a mesma mensagem.

No sistema de chave pública, cada pessoa tem que ter duas chaves, uma que fica publicamente disponível, e outra, que deve ser mantida em segredo.

O algoritmo que se mantém até hoje é o RSA, que é patenteado pela RSADSI (RSA Data Security Incorporated) nos Estados Unidos.

Para entender como funciona, observe a figura abaixo:

Como funciona a criptografia?
Figura 2: A ilustração acima, demostra como funciona a criptografia assimétrica.

» As pessoas (A) e (C), escrevem mensagens, utilizando a chave pública da pessoa (B), note que, a partir desse momento somente ela, poderá ler as mensagens;

» As mensagens são enviadas a pessoa (B) através da Internet;

» A pessoa (B), recebe as mensagens de (A) e (C), na qual ela usa a chave privada para descriptografar;

» A pessoa (B), lê as mensagens, e se, tiver que responde-las, deverá usar as chaves públicas de criptografia de (A) e ou (C).

Nesse momento, é importante enfatizar que o sigilo da chave privada é muito importante, pois, a criptografia assimétrica, se baseia no fato de que a chave privada, é realmente privada, por isso, somente seu detentor deve ter acesso.

Assinatura digital

Se a chave privada for usada para escrita, o sentido das chaves acaba sendo outro, pois, todos que tem a chave pública vão conseguir ler essa mensagem, entretanto, somente quem tem a chave privada vai conseguir escrever, logo, a mensagem deixa de ser secreta, e se torna uma mensagem autêntica, a isso, chamamos de mensagem com Assinatura Digital.

Assinatura digital + Criptografia assimétrica

Nesse método, temos certeza de que a pessoa que nos enviou a mensagem é realmente ela, pois, usamos sua chave pública para abrir a mensagem, entretanto, precisamos da nossa chave privada, para abrir o texto que está dentro da mensagem, sendo assim, obtivemos um nível de proteção excelente.

Conclusão, como vantagens temos, utilização de chaves distintas, integridade, fácil distribuição e a assinatura digital, e como desvantagem a lentidão.

Para que serve o Proxy ?

Os servidores proxy são usados para permitir aos micros de uma rede interna o acesso à Web, FTP e outros serviços mais, no qual ele foi previamente configurado. O proxy é um servidor especial, que roda em uma máquina que pode agir também como se fosse um Firewall, escondendo os computadores da rede interna.

Basicamente, ele recebe requisições de máquinas que estão na rede interna, envia aos servidores que estão do lado externo da rede, lê as respostas externas e envia de volta o resultado aos clientes da rede interna.

Normalmente, o mesmo servidor proxy é usado para todos os clientes em uma rede interna, que pode ou não ser constituída de sub-redes.

Os tipos de servidores Proxy mais utilizados, são:

» Os Proxies genéricos, que oferecem serviços de proxy para várias aplicações (por exemplo Web, Ftp, Gopher e Telnet) em um único servidor.

» Os Proxies específicos, que oferecem serviços de proxy para uma determinada aplicação, como é o caso do Web Proxy, que é um proxy que tem por finalidade, fazer caching de documentos Web que foram acessados, reduzindo de forma considerável, o tráfego de acesso à Internet em requisições futuras.

Nota: A habilidade de fazer cache dos documentos acessados, tornou atrativo o seu uso dentro de empresas e provedores de acesso à Internet, pois, com ele, existe o ganho de “banda virtual”, tendo em mente que documentos freqüentemente acessados, serão retornados do cache local ao invés de um servidor remoto distante.

O proxy é um servidor especial, que roda em uma máquina que pode agir também como se fosse um Firewall, escondendo os computadores da rede interna.
Figura 1: Demonstração do Fluxo de informações no Proxy.

Na ilustração acima, temos uma demonstração de como funciona o fluxo dentro de um servidor Web Proxy, ele recebe as requisições, faz uma análise no cache local, e se o documento estiver no cache, ele responde automaticamente, caso contrário, se o documento não estiver no cache, ou, se ele estiver precisando de atualização, ele vai ao endereço remoto e busca o documento, ou as atualizações e guarda no cache local, para ser usado nas requisições futuras.

» Os Proxies de circuitos, que oferecem conexões virtuais ponto a ponto entre o cliente e o destino final, eles normalmente fazem a autenticação antes de estabelecer a conexão final, agindo como se fosse um controlador. Esse tipo de proxy, baseia-se livremente no conceito de proxy genérico.

Para que serve o Firewall ?

Para que serve o Firewall ?

Firewall é o mecanismo de segurança interposto entre a rede interna e a rede externa com a finalidade de liberar ou bloquear o acesso de computadores remotos aos serviços que são oferecidos em um perímetro ou dentro da rede corporativa. Este mecanismo de segurança pode ser baseado em hardware, software ou uma mistura dos dois.

Três fatores estão em risco quando nos conectamos a Internet, são eles, a reputação, os computadores e as informações guardadas, e três fatores precisam ser resguardados, a privacidade, a integridade e a disponibilidade. Existem situações de riscos como, roubo de conexão depois dela ter sido autenticada, espionagem de dados secretos enquanto em trânsito pela rede e um usuário não autenticado convence a rede que ele foi autenticado.

Ele é o ponto de conexão com a Internet, tudo o que chega à rede interna deve passar pelo Firewall, ele é também o responsável por aplicar as regras de segurança, autenticar usuários, logar tráfego para auditoria e deve limitar a exposição dos hosts internos aos hosts da Internet, entretanto, algumas tarefas não podem ser executadas, como, proteger a rede contra usuários internos mal intencionados, conexões que não passam por ele, ameaças novas, no qual ele não foi parametrizado para executar uma ação.

Arquiteturas de Firewall

Normalmente, as empresas preferem implementar um Firewall baseado apenas em uma máquina, seja ele um host PC ou um roteador, entretanto, os Firewalls mais robustos, são compostos de várias partes, veja algumas arquiteturas a seguir:

Roteador com Triagem (Screening Router)
Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é zero, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

Roteador com Triagem (Screening Router) Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é zero, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

Figura 1 : Screened Router

Gateway de Base Dupla (Dual Homed Gateway)
Aqui, é posto uma única máquina com duas interfaces de rede entre as duas redes (a Internet e a rede da empresa). Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa. Como na arquitetura anterior, se o Proxy for quebrado, a rede da empresa ficará totalmente vulnerável.

Gateway de Base Dupla (Dual Homed Gateway)
Figura 2 : Dual Homed Gateway

Gateway Host com Triagem (Screened Host Gateway)
Roteador e Gateway aqui, são usados conjuntamente em uma arquitetura, formando assim, duas camadas de proteção.

Observe a figura abaixo:

Gateway Host com Triagem (Screened Host Gateway)
Figura 3: Screened Host Gateway

A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o “filtro de pacotes” que está implementado no roteador e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.

A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.

Sub-rede com Triagem (Screened Subnet)
Roteador e Gateway, são usados aqui também conjuntamente em uma arquitetura que é bem parecida com a arquitetura anterior, entretanto, a camada de serviços nesta, fica na mesma linha da camada interna, atrás do Bastion Host Gateway, em uma das sub-redes que podem ser criadas nele, fortalecendo bem os serviços contra ataques.

Observe a figura abaixo:

Sub-rede com Triagem (Screened Subnet)
Figura 4: Screened Subnets

A primeira camada, é a externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o “filtro de pacotes” que está implementado no roteador, e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.

A segunda camada, está dividida em duas partes, a de serviços prestados (Exemplo, E-mail, Web, Ftp e Ras) e a interna (rede da empresa), e elas, recebem duas filtragens, a do roteador e a do próprio programa Firewall. Esta camada utiliza também uma outra técnica chamada NAT, que tem por finalidade transcrever números de internet em números privados, fortalecendo bem a transparência da camada.

Entendendo o Bastion Host

Bastion Host é qualquer computador configurado para desempenhar algum papel crítico na segurança da rede interna, ele fica publicamente presente na Internet, provendo os serviços permitidos pela política de segurança da empresa.

Componentes de um bom Firewall

Autenticação – Processo que verifica a identidade de um usuário para assegurar de que o mesmo que está pedindo o acesso, seja de fato, o mesmo a quem o acesso é autorizado.

Controle de Acesso – Processo que bloqueia ou permite conexões de entrada ou de saída baseado em filtros de acesso ou através de mecanismos inteligentes que detectam o uso abusivo, bloqueando o acesso temporariamente.

Compatibilidade – O Firewall deve permitir o pleno funcionamento dos serviços prestados na rede, bem como, interagir ou até mesmo se integrar com as aplicações servidoras escolhidas pela corporação.

Auditoria – Processo vital na detecção de vulnerabilidades e acessos indevidos.

Flexibilidade – Facilidade no uso, ferramentas de administração de boa compreensão e suporte técnico.

Nota: Um bom programa de segurança de rede, é construído por um conjunto de programas e técnicas que tem por finalidade liberar ou bloquear serviços dentro de uma rede interligada à Internet de forma controlada. Embora o Firewall seja a parte mais importante em um programa de segurança, não devemos esquecer a importância de se utilizar ferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemas operacionais que estão em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques. É importante também, saber qual ação a ser tomada quando uma violação ou um serviço importante parar.