1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
1-0 Instalando o Firewall Aker - Data - Aker Security Solutions 1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
possíveis combinações e, teoricamente, maior é a resistência do algoritmo contra ataques. Algoritmos de autenticação: • MD5 MD5 é a abreviatura de Message Digest 5. Ele é um algoritmo criado e patenteado pela RSA Data Security, Inc, porém com uso liberado para quaisquer aplicações. Ele é usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e é considerado um algoritmo bastante rápido e seguro. • SHA SHA é a abreviatura de Secure Hash. Ele é um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado mais seguro que o MD5, porém tem uma performance em média 50% inferior (na implementação do Firewall Aker). A versão implementada pelo Firewall Aker é o SHA-1, uma revisão no algoritmo inicial para corrigir uma pequena falha. Entretanto ele será chamado sempre de SHA, tanto neste manual quanto nas interfaces de administração. Algoritmos de criptografia simétricos: Os algoritmos de criptografia simétricos são utilizados para se encriptar fluxos de informações. Eles possuem uma única chave que é utilizada tanto para encriptar quanto para decriptar os dados. • DES O algoritmo DES, que é um anagrama para Data Encription Standard, foi criado pela IBM na década de 70 e foi adotado pelo governo americano como padrão até recentemente. Ele é um algoritmo bastante rápido em implementações de hardware, porém não tão rápido quando implementado em software. Suas chaves de criptografia possuem tamanho fixo de 56 bits, número considerado pequeno para os padrões atuais. Devido a isso, deve-se dar preferência a outros algoritmos em caso de aplicações críticas. • Triplo DES ou 3DES Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de 112 bits, o que representa uma segurança extremamente maior do que a oferecida pelo DES. O problema deste algoritmo é que ele é duas vezes mais lento que o DES (na implementação utilizada no Firewall Aker). • AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o já inseguro e ineficiente DES. AES é um anagrama para Advanced Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rápido que o DES ou mesmo o 3DES. O Firewall Aker trabalha com o AES utilizando chaves de 256 bits, o que garante um nível altíssimo de segurança. Ele é a escolha recomendada. • Blowfish O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é um algoritmo extremamente rápido (quando comparado com outros algoritmos de criptografia), bastante seguro e pode trabalhar com vários tamanhos de chaves, de 40 a 438 bits. O Firewall Aker trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que garante um nível altíssimo de segurança. Algoritmos de criptografia assimétricos: Os algoritmos de criptografia assimétricos possuem um par de chaves associadas, uma para encriptar e outra para decriptar os dados. Eles são bastante lentos se comparados aos algoritmos simétricos e, devido a isso, normalmente são utilizados apenas para realizar assinaturas digitais e no estabelecimento de chaves de sessão que serão usadas em algoritmos simétricos. • RSA O RSA é um algoritmo baseado em aritmética modular capaz de trabalhar com chaves de qualquer tamanho, porém valores inferiores a 512 bits são considerados muito frágeis. Ele pode ser utilizado para encriptar e decriptar dados, porém, devido a sua grande lentidão se comparado aos algoritmos simétricos, seu principal uso é em assinaturas digitais e no estabelecimento de chaves de sessão. • Diffie-Hellman O algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo de criptografia, uma vez que não serve para encriptar dados ou realizar assinaturas digitais. Sua única função é possibilitar a troca de chaves de sessão, feita de forma a impedir que escutas passivas no meio de comunicação consigam obtê-las. Ele também é baseado em aritmética modular e pode trabalhar com chaves de qualquer tamanho, porém chaves menores que 512 são consideradas muito frágeis. Algoritmos de trocas de chaves Um problema básico que ocorre quando se configura um canal seguro é como configurar as chaves de autenticação e criptografia e como realizar trocas periódicas destas chaves. É importante realizar trocas periódicas de chaves para diminuir a possibilidade de quebra das mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma das chaves: Suponha que um atacante consiga em seis meses quebrar as chaves usadas por um algoritmo de criptografia (este tempo é totalmente hipotético, não
- Page 98 and 99: 6-3 Trabalhando com Políticas de F
- Page 100 and 101: todos UDP 8 Correio_SMTP server1 SM
- Page 102 and 103: Para melhor visualização e contro
- Page 104 and 105: \ [pipe ] [acumulador ] [loga] [ma
- Page 106 and 107: 2 - Tela inicial com as explicaçõ
- Page 108 and 109: 5 - Configuração da DMZ 6 - Escol
- Page 110 and 111: 9 - Administração do Firewall. In
- Page 112 and 113: 12 - Seleção dos serviços do ser
- Page 114 and 115: 7-0 Configurando a conversão de en
- Page 116 and 117: • N-1 A conversão de N-1, como o
- Page 118 and 119: Endereços das placas: rede interna
- Page 120 and 121: • Múltiplas ligações com a Int
- Page 122 and 123: O funcionamento da conversão é si
- Page 124 and 125: • O botão OK fará com que o con
- Page 126 and 127: Tipo de NAT: Neste campo se define
- Page 128 and 129: Quando o módulo de Cluster Coopera
- Page 130 and 131: Persistência de Sessão: Esse camp
- Page 132 and 133: Na regra 3 alguém da Internet est
- Page 134 and 135: ealizará uma crítica para determi
- Page 136 and 137: emovida da tabela Para conversao 1-
- Page 138 and 139: 2 - Informe as redes que necessitar
- Page 140 and 141: 4 - Escolha a opção Sim caso quei
- Page 142 and 143: 6 - Escolha o IP da Máquina virtua
- Page 144: 8 - Tela de finalização do Assist
- Page 147: O que é autenticação ? Autentica
- Page 151 and 152: • Troca de chaves via SKIP SKIP
- Page 153 and 154: criptografia.Também será necessá
- Page 155 and 156: Exemplo de configuração de um can
- Page 157 and 158: 8-2 Carregando certificados Aker-CD
- Page 159 and 160: 1. Clica-se em um dos botões, clic
- Page 161 and 162: • O botão Inserir permite se inc
- Page 163 and 164: • O Botão Cancelar fará com que
- Page 165 and 166: Segredo Compartilhado: Uma seqüên
- Page 167 and 168: Utilizando a troca de chaves manual
- Page 169 and 170: Chaves: É a chave que será utiliz
- Page 171 and 172: Utilizando troca de chaves via Aker
- Page 173 and 174: deve conter 2 caracteres no maximo.
- Page 175 and 176: 3DES fwcripto inclui envia s
- Page 177 and 178: ---------- Origem : Rede externa 1
- Page 179 and 180: firewall ou mecanismo de controle n
- Page 181 and 182: o o Clique com o botão direito do
- Page 183 and 184: fwclient max_clientes fwclient aut
- Page 185 and 186: Smart card : nao Token : nao Permit
- Page 187 and 188: 9-5 Configurando o Cliente de Cript
- Page 189 and 190: Esta é a pasta principal da config
- Page 191 and 192: utilizados no logon da rede para es
- Page 193 and 194: Não é possível se excluir os alg
- Page 195 and 196: • O botão OK fará com que a jan
- Page 197 and 198: 2. Permitir entidades listadas: Som
possíveis combinações e, teoricamente, maior é a resistência do algoritmo contra<br />
ataques.<br />
Algoritmos de autenticação:<br />
• MD5<br />
MD5 é a abreviatura de Message Digest 5. Ele é um algoritmo criado e patenteado pela<br />
RSA <strong>Data</strong> <strong>Security</strong>, Inc, porém com uso liberado para quaisquer aplicações. Ele é usado<br />
para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e é<br />
considerado um algoritmo bastante rápido e seguro.<br />
• SHA<br />
SHA é a abreviatura de Secure Hash. Ele é um algoritmo que gera assinaturas digitais<br />
de 160 bits para mensagens de qualquer tamanho. Ele é considerado mais seguro que o<br />
MD5, porém tem uma performance em média 50% inferior (na implementação do<br />
<strong>Firewall</strong> <strong>Aker</strong>).<br />
A versão implementada pelo <strong>Firewall</strong> <strong>Aker</strong> é o SHA-1, uma revisão no algoritmo inicial<br />
para corrigir uma pequena falha. Entretanto ele será chamado sempre de SHA, tanto<br />
neste manual quanto nas interfaces de administração.<br />
Algoritmos de criptografia simétricos:<br />
Os algoritmos de criptografia simétricos são utilizados para se encriptar fluxos de<br />
informações. Eles possuem uma única chave que é utilizada tanto para encriptar quanto<br />
para decriptar os dados.<br />
• DES<br />
O algoritmo DES, que é um anagrama para <strong>Data</strong> Encription Standard, foi criado pela<br />
IBM na década de 70 e foi adotado pelo governo americano como padrão até<br />
recentemente. Ele é um algoritmo bastante rápido em implementações de hardware,<br />
porém não tão rápido quando implementado em software. Suas chaves de criptografia<br />
possuem tamanho fixo de 56 bits, número considerado pequeno para os padrões atuais.<br />
Devido a isso, deve-se dar preferência a outros algoritmos em caso de aplicações<br />
críticas.<br />
• Triplo DES ou 3DES<br />
Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três chaves<br />
distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de<br />
112 bits, o que representa uma segurança extremamente maior do que a oferecida pelo<br />
DES. O problema deste algoritmo é que ele é duas vezes mais lento que o DES (na<br />
implementação utilizada no <strong>Firewall</strong> <strong>Aker</strong>).<br />
• AES