Esta noticia aborda as revelações de Edward Snowden sobre a NSA sobre os programas de decriptografias da Bullrun da USA e do programa semelhante que a Inglaterra mantém chamado Edgehill contra as VPN's. E o porque que o uso de VPN's é uma das melhores opções de navegação anômina da internet e incentivado pelo famoso hacker Kevin Mitnick . Leia o artigo.
Fonte: http://www.vpnaccounts.com/blog/nsa-bullrun-vpn-accounts/
Quem é Kevin Mitnick? : http://www.tecmundo.com.br/historia/1842-quem-e-kevin-mitnick-.htm
Bullrun e Edgehill contra as VPN's
Read User's Comments0
Política de segurança
Uma rede possui um nível conhecido de confiabilidade quando todos os seus nós seguem as mesmas políticas de segurança. Esse conceito pode ser estendido também para as VPNs, as quais podem ser vistas como “redes sobre redes”, onde os nós são as LANs ou usuários remotos, conectados por canais seguros estabelecidos sobre uma rede maior, não-confiável.
Desta forma, por mais segura que uma rede local esteja, uma eventual falha de segurança em um ponto qualquer da VPN pode se propagar pelos túneis, comprometendo as partes consideradas seguras. As tecnologias atuais oferecem um nível muito bom de segurança aos canais, de modo que os pontos mais vulneráveis nas VPNs acabam por ser os nós, principalmente quando entre estes também estão usuários remotos. Por estarem também conectados à rede maior, os nós da VPN são passíveis de ataques através das conexões inseguras. Portanto, podendo servir como porta de entrada a um intruso para a rede corporativa.
Uma boa política de segurança deve ser clara, objetiva e abordar todos os aspectos de segurança relevantes. Como isso pode incluir um número muito grande de itens, é importante que a política de segurança seja aprovada pelas partes envolvidas, e revista periodicamente, a fim de refletir mudanças tecnológicas e estruturais da rede.
Dentre os vários itens que podem constar em uma política de segurança, destacam-se:
Escopo: a quem a política deve abranger, e que tipo de serviços são cobertos pela política de segurança.
Responsabilidades: as responsabilidades dos usuários e administradores devem ser claras e bem definidas. No caso de interligação entre redes, devem ser definidas as responsabilidades de cada uma das partes envolvidas. Devem ser incluídas as possíveis medidas disciplinares a serem tomadas em caso de ação voluntária ou negligente que venha a acarretar perdas.
Autoridades: a autoridade de cada parceiro na rede deve ser bem definida, incluindo quem possui direitos sobre quais recursos, como por exemplo, os canais seguros. Em caso de uma VPN LAN-to-LAN, onde cada rede pode ter um administrador separado (ex. extranet), a política deve definir, até onde se estende a autoridade dos administradores locais.
Software: que tipo de software é permitido, que tipo não é permitido, quem é responsável pela instalação e manutenção do software, atualizações e antivírus.
Controle de acesso: controle de senhas, autenticação de usuários, autoridades, procedimentos em caso de perda ou roubo de senhas.
Controle de utilização: que tipo de uso é aceitável, que tipo não é aceitável. O controle de utilização pode incluir também limites de tempo ou volume máximo para transferência de dados em um determinado período.
Homologação: os requisitos mínimos necessários, processo de auditoria e aprovação para novos nós na rede.
Fonte: http://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/VPN/texto/Texto%20(.html).html
Nível de segurança
A especificação da VPN a ser implantada deve tomar por base o grau de segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar pela rede e se são dados sensíveis ou não.
Desta forma, a definição depende da escolha do protocolo de comunicação, dos algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento terão de ser os equipamentos, principalmente, no que se refere a complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.
Os habilitadores das tecnologias de segurança são de conhecimento comum e são apresentados os mesmos abaixo :
1. CHAP Challenge Handshake Authentication Protocol;
2. RADIUS Remote Authentication Dial-in User Service;
3. Certificados digitais;
4. Encriptação de Dados.
Os três primeiros visam autenticar usuários e controlar o acesso a rede. O último visa prover confidencialidade e integridade aos dados transmitidos.
Fonte: http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/
Autenticação
É importante para garantir que o originador dos dados que trafeguem na VPN seja, realmente, quem diz ser. Um usuário deve ser identificado no seu ponto de acesso à VPN, de forma que, somente o tráfego de usuários autenticados transite pela rede. Tal ponto de acesso fica responsável por rejeitar as conexões que não sejam adequadamente identificadas. Para realizar o processo de autenticação, podem ser utilizados sistemas de identificação/senha, senhas geradas dinamicamente, autenticação por RADIUS (Remote Authentication Dial-In User Service) ou um código duplo.
A definição exata do grau de liberdade que cada usuário tem dentro do sistema, tendo como conseqüência o controle dos acessos permitidos, é mais uma necessidade que justifica a importância da autenticação, pois é a partir da garantia da identificação precisa do usuário que poderá ser selecionado o perfil de acesso permitido para ele.
Fonte: http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/
Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que sejam praticamente impossíveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a mensagem, fazendo assim a verificação.
Algoritmos para Integridade:
SHA-1 (Secure Hash Algorithm One): É um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqüência de até 264 bits.
MD5 (Message Digest Algorithm 5): É um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqüência de qualquer tamanho.
Fonte: http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/
Algoritmos para criptografia
DES ( Data Encryption Standard): É um padrão de criptografia simétrica, adotada pelo governo dos EUA em 1977.
Triple-DES: é uma variação do algoritmo DES, sendo que o processo tem três fases: A seqüência é criptografada, sendo em seguida decriptografada com uma chave errada, e é novamente criptografada.
RSA (Rivest Shamir Adleman): É um padrão criado por Ron Rivest, Adi Shamir e Leonard Adleman em 1977 e utiliza chave pública de criptografia, tirando vantagem do fato de ser extremamente difícil fatorar o produto de números primos muito grandes.
Diffie-Hellman: Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usuários. A chave utilizada é formada pelo processamento de duas outras chaves uma pública e outra secreta.
Criptografia
É implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras são aplicadas sobre os dados, empregando uma seqüência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave. A chave é uma tecnologia usada para criptografar os dados.
Devido estes aspectos, a chave simétrica ou chave privada é uma técnica de criptografia, onde a mesma chave é utilizada para criptografar e decriptografar os dados. Desta forma, a chave deve ser mantida em segredo para a eficiência do processo.
A chave assimétrica ou chave pública é uma técnica, onde a chave usada para criptografar e decriptografar são diferentes, porém relacionadas. A chave utilizada para criptografar os dados é formada por duas partes, sendo uma pública e outra privada, da mesma forma que a chave utilizada para decriptografar.
Fonte: http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/
Assinar:
Postagens (Atom)