Criptografia nas diversas camadas do modelo OSI

Publicado por NewLinuxer em 03/11/2009

[ Hits: 29.375 ]

 


Criptografia nas diversas camadas do modelo OSI



O presente texto visa explanar, de maneira geral, como a criptografia pode ser aplicada em cada uma das camadas do modelo OSI de redes, com seus pontos fortes e fracos.

O termo criptografia deriva do grego kryptós (escondido, oculto) + gráphein (escrita). Então, a grosso modo, pode ser entendido como a ciência ou arte de escrever de maneira oculta. Escrever uma informação de tal forma que seu significado permaneça oculto a todos, exceto a quem for autorizado.

No tratamento da informação a criptografia é aplicada sempre que é necessário manter a confidencialidade da informação, seja armazenada ou trafegada. Sendo que as formas de criptografia e as maneiras como são aplicadas à informação são bastante diversas, tendo cada uma suas características, seus pontos positivos e pontos negativos.

Especificamente com relação a informação trafegada em ambientes computacionais, ou seja, na comunicação de dados, podem ser aplicados diversos recursos para garantir a confidencialidade. Baseando nas camadas de referencia do modelo OSI, temos algumas soluções de criptografia para cada uma delas.

No tópico abaixo teremos uma explanação geral das formas de aplicação de criptografia em cada uma das camadas e, após, uma tabela sintetizando.

Aplicação, vantagens e desvantagens

Camada de enlace

A criptografia é aplicada na camada de enlace do modelo de referencia RM/OSI quando existe fragilidade de segurança no meio físico. Um dos usos mais comuns é em redes wireless, justamente pela fragilidade do meio (o próprio ar). Nestas situações todo pacote é colocado em quadros criptografados e enviado diretamente ao destinatário, independente do protocolo de rede utilizado. Quando o destinatário recebe o quadro, este decripta, desempacota e lhe dá o destino cabível. Como a informação viaja dentro de quadros existe liberdade de escolha dos protocolos das camadas superiores e a criptografia está presente apenas entre os pontos de enlace onde o protocolo de criptografia está sendo utilizado, de maneira praticamente transparente ao usuário.

Tomando como exemplo um link wireless (802.11x), que aplica criptografia WEP, ligando duas redes distintas, todo tráfego das camadas superiores, que ocorrer, apenas, entre os dois dispositivos wireless, estará criptografado, ou seja, o tráfego antes e após estes estarão em seu formato original, sem criptografia. Os quadros de controle não são cifrados.

Camada de rede

A criptografia na camada de rede é feita através da aplicação de protocolos como o IPSec ao protocolo IP, no caso do IPv6 esse protocolo já é nativo.

Esta criptografia garante que os dados contidos nas camadas superiores não serão interceptados, garantindo confidencialidade.

Esse tipo de criptografia pode ser utilizado no modo transporte, tratando, diretamente, todos ou alguns pacotes trocados entre duas entidades, ou no modo túnel, onde todo pacote da camada de rede é colocado dentro de outro pacote IP que por sua vez recebe criptografia.

Como atua na camada de rede as inferências necessárias por parte do usuário são mínimas, sendo que muitas vezes estes nem tomam conhecimento de sua existência.

Camada de sessão/transporte

A utilização de protocolos de criptografia, como o SSL e o TLS, nas camadas de seção e transporte agrega criptografia fim-a-fim, cifrando apenas a informação vinda da camada de aplicação e colocando dentro de pacotes IP que são enviados.

Sendo assim uma comunicação específica, entre duas entidades, é criptografada e garantida sua confiabilidade. Porém, ao contrário da criptografia nas camadas de enlace e rede, o protocolo de criptografia é aplicado apenas à aplicações específicas e em determinadas situações. É possível que apenas parte da informação entre cliente e servidor seja cifrada.

Geralmente exige autenticação por ambas partes, tanto o servidor como o cliente devem ter suas identidades conferidas, seja por senhas, certificados ou outra forma.

Camada de aplicação

A criptografia aplicada à camada de aplicação trata os dados em seu formato original, seja um arquivo ou texto. Antes mesmo de serem considerados tráfego na rede, pois é a camada de apresentação que lhos conduzirá as camadas inferiores que trafegarão na rede.

É uma implementação de mais alto nível, porém menos transparente ao usuário. Sendo utilizada, por exemplo, quando se deseja enviar algum arquivo de maneira que somente o destinatário o compreenda. Além disso, é possível autenticar esse arquivo garantindo a integridade e a irretratabilidade.

Nesta camada a criptografia protege apenas o dado, não ocultando nenhuma outra informação, como o destino desse dado ou o meio por onde serão transportados.

Quadro Comparativo

CAMADAS PROTOCOLOS VANTAGENS DESVANTAGENS UTILIZAÇÃO
Enlace WEP, WPA Agrega segurança ao meio físico. Não dependente do protocolo de rede. Alta transparência. Dados de controle viajam em aberto. Enlaces Wireless, segurança no meio físico.
Rede IPSec, IPv6 Flexibilidade de protocolos transporte. Pouca interferência do usuário. Transparência. Dependente do protocolo IP VPN's camada 3, criptografia em VPN's camada 2, criptografia de dados trocados diretamente entre entidades.
Sessão/ Transporte SSL, TLS Possibilidade de garantia de identidade. Garantida de integridade e confidencialidade. Dependência do protocolo TCP. Cifra apenas a informação trafegada. Principalmente para agregar segurança à comunicações na internet. WEB, e-mail, LDAP.
Aplicação S/MIME, PGP, SET, Kerberos Os dados são cifrados antes de serem trafegados. Nível mais alto. Necessário uma maior inferência do usuário. Não oculta o destino da informação ou outros detalhes. Implementar criptografia de arquivos. Assinaturas digitais.


Outras dicas deste autor

Configurar o Squid para limitar o tamanho do cache

Leitura recomendada

Tishna - Framework de Pentest Automatizado

Java no Ubuntu 7.10 (via Apt)

Logical Volume Manager - LVM (GNU/Linux)

Convertendo arquivos MP3 para WAV e vice-versa

Repositório local com Yum

  

Comentários
[1] Comentário enviado por bristot em 04/11/2009 - 06:04h

Santa falta de fundamentação....

"em cada uma das camadas do modelo OSI de redes"

na minha época eram 7 camadas... alguém mudou?

[2] Comentário enviado por wtet em 04/11/2009 - 09:51h

Bristot, na verdade houve dificuldade de expressão, poderia estar como no título, diversas camadas e não todas.
Embora, observando só nos falta a camada física (creio eu) não existindo criptografia por software e a camada de apresentação, que poderia receber um tratamento semelhante à camada de sessão, além disso não está presente em todos modelos, em alguns a aplicação comunica diretamente com a sessão, porém, ainda assim temos cinco camadas e não quatro, como dizes.

[3] Comentário enviado por fabiocax em 04/11/2009 - 11:41h

Bristot, como assim "Santa falta de fundamentação.... " ?

A OSI, é uma camada de abstração ou em outras palavras, um modelo de referência para compreender melhor como segue o fluxo dentro de um sistema. Como é de referencia, não deve ser interpretada literalmente e sim de forma abstrata exclusivamente para estudo. A Camada OSI não representa tão bem o fluxo então existe um outro modelo chamado TCP/IP este bem mais assimilável por questões obvias.

O Wesley explanou muito bem a criptografia nas diversas camadas.

Bristot, acho que essa atitude vai em desencontro à filosofia do software-livre.

[4] Comentário enviado por bristot em 04/11/2009 - 12:45h

NewLinuxer, sim o título está adequado, seu texto está bom, você escreve bem, mas que você foi infeliz na frase foi e ela está errada, pois como você mesmo falou, não está cobrindo todas as camadas.

"porém, ainda assim temos cinco camadas e não quatro, como dizes." ... Onde falei em 4?

Fabiocax: No Bike Sheed, não vou nem perder tempo discutindo o OSI e TCP... Sobre o desencontro da filosofia de software livre, quem passa a mão na cabeça é mãe, se você assinasse alguma lista de desenvolvimento veria que a critica é algo muito comum e faz parte da história do software livre... isto faz as pessoas melhorarem seus softwares (neste caso documentação)... afinal coisas erradas (ou mal expressadas como neste caso) deve ser corrigidas... isto é software livre...



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts