Professor

1
Exerício PPTP

• Professor
• Edgard Jamhour

2
Porta de Controle

• O estabelecimento de uma conexão PPTP é feito
  pela porta de controle TCP 1723.
• Esta porte precisa ser liberada no firewall para
  implantar uma VPN de acesso.

configuração do link autenticação configuração de
rotas
TCP
1723
gt 1024
IP Protocol Type 2F
3
Exemplo de VPN com Firewall
IP_Servidor_VPN
1723
gt1023
INTERNET
FIREWALL Liberar a porta TCP 1723 no IP
Servidor_VPN Liberar o protocolo PPTP (Protocol
Type2F) para o IPServidor_VPN
4
Exercício

• A) Configure o firewall para permitir apenas
  conexões PPTP
• B) Capture os pacotes entre o cliente e o
  servidor com criptografia e sem criptografia.

cliente
firewall
servidor
eth0
eth0
eth01
eth0
10.26.135.x/17
10.26.135.y/17
10.0.0.x/24
10.0.0.z/8
5
Segurança do PPTP

• PPTP fonece dois serviços de segurança
• Autenticação
• Criptografia de Dados
• Diversos tipos de autenticação podem ser
  utilizadas
• CHAP Standard Encrypted Authentication
• MS-CHAP Microsoft Encrypted Authentication
• Unico Método que Permite Criptografia
• PAP Password Authentication Protocol
• Autenticação Sem Criptografia

6
Autenticação por CHAP

• CHAP Challeng HandShake Authentication Protocol
• Definido pela RFC 1994 como uma extensão para PPP
• Não utiliza passwords em aberto
• Um password secreto, criado apenas para a sessão,
  é utilizado para o processo de autenticação.
• CHAP permite repetir o processo de validação da
  senha durante a conexão para evitar ataques por
  roubo de conexão.

7
Autenticação CHAP

• O processo utilizado é do tipo challenge-response
  
• a) O cliente envia sua identificação ao servidor
  (mas não a senha)
• b) O servidor responde enviando ao cliente uma
  challenge string, única, criada no momento do
  recebimento do pedido.
• c) O cliente aplica um algoritmo RSAs MD5
  (one-way hashing), e combinado-se password e a
  string recebida.
• d) O servidor compara a senha criptografada
  recebida pelo usuário aplicado a mesma operação
  na senha armazenada localmente.

8
Autenticação no CHAP
http//www.cisco.com/warp/public/770/chapvuln-pub.
shtml
9
MD4 e MD5

• O Algoritmo MD5
• Aceita uma mensagem de entrada de tamanho
  arbitrário e gera como resultado um fingerprint
  ou message digest de tamanho fixo (128 bits).
• Probabilidade de duas mensagens gerarem o mesmo
  digest "computationally infeasible"
• Definido na RFC 1321.

• O Algoritmo MD4
• Versão anterior do MD5, menos segura e mais
  rápida.
• Probabilidade de duas mensagens gerarem o mesmo
  digest 264
• Definido na RFC 1320.
• O site do RSA (www.rsasecurity.com) indica que o
  MD4 deve ser considerado quebrado (1999).

10
Autenticação por MS-CHAP

• MS-CHAP Microsoft - Challenge HandShake
  Authentication Protocol
• Duas versões
• Versão 1
• gera chaves criptográficas a partir apenas do
  password, por isso a chave não muda de uma sessão
  para outra.
• a autenticação é one-way o cliente prova a
  indentidade para o servidor, mas não o contrário.
• a mesma chave de criptografia é utilizada para
  enviar e receber dados.
• Versão 2 (RFC 2759)
• gera chaves criptográficas a partir do password e
  da challenge string, por isso a chave muda a cada
  sessão.
• a autenticação é two-way (mutual authentication).
• gera uma chave de criptografia diferente para
  transmitir e para receber dados.

11
Autenticação no MS-CHAP
6) chave (CS1 password) chave(CS2
password) RSAs RC4 40 ou 128 bits (negociado)
5) chave (CS2 password) chave (CS1
password) RSAs RC4 40 ou 128 bits (negociado)