Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 4: ATAQUES EM REDES Segurança de redes de computadores SEGURANÇA DE REDES DE COMPUTADORES Aula 4: Ataques em redes AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Levantamento das Informações 1 Exploração das Informações 2 Camuflagem das Evidências 5 Obtenção de Acesso 3 Manutenção do Acesso 4 AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Levantamento das informações A fase de reconhecimento é preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque. AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Levantamento das informações Existem duas formas de realizar o reconhecimento: ativo e passivo. • O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”; • O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico pelo helpdesk ou departamento técnico. AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Exploração das informações (scanning) Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerada pré- ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping. AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Obtenção do acesso Esta fase consiste na penetração do sistema propriamente dita. Nela são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, por fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. Nesta fase, o atacante poderá obter acesso no âmbito do: sistema operacional, da aplicação e da rede. AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Manutenção do acesso Nesta fase, o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos por meio de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase, o sistema atacado poderá ficar comprometido. AULA 4: ATAQUES EM REDES Segurança de redes de computadores Receita de um ataque Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. AULA 4: ATAQUES EM REDES Segurança de redes de computadores • Packet Sniffing; • ARP Spoofing; • IP Spoofing; • Fragmentação de pacotes IP. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Packet sniffing É um ataque passivo, também chamado de passive eavesdropping. Executa a captura de pacotes, de todos os hosts (promiscuous mode), que estejam no mesmo segmento de rede. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Packet sniffing Switches podem dividir a rede em mais segmentos, dificultando a captura de pacotes. Para realizar a captura em redes segmentadas, podem ser utilizadas configurações de “mirror port” ou “SPAN Switch Port Analizer”, que é a porta para a qual o switch enviará cópia de todo o tráfego. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Packet sniffing Outra possibilidade para captura em redes segmentadas por switch, seria gerar tráfego com MAC de origem falso para comprometer a MAC address table, quando o switch não sabe a interface do destino envia o frame para todas as interfaces. Softwares: tcpdump (Linux) e wireshark. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores ARP spoofing Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego para o host invasor (apropriação de identidade). Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego válido chegue ao seu destino. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores IP spoofing Consiste na técnica de falsificar o endereço IP de origem de um pacote. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP Entendendo a fragmentação de pacotes IP. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP É uma técnica utilizada, objetivando dificultar a detecção de um ataque ou realizar uma negação de serviço (DoS). A seguir, entenda as possibilidades de ataque com a fragmentação. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP Possibilidades de ataque com a fragmentação Normalmente, os hosts não tentam processar o pacote até receber todos os fragmentos, possibilitando um overflow na pilha TCP/IP, se o buffer reservado for menor que o tamanho do pacote a ser reagrupado. Em geral, trava o sistema caracterizando um ataque de DoS. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP POSSIBILIDADES DE ATAQUE COM A FRAGMENTAÇÃO Outra possibilidade é offset negativo, podendo acarretar resultados inesperados do host. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP Exemplos: Ping da Morte – pacotes com 65535 bytes; sobrecarga do buffer; trava o sistema. Protocolo ICMP. Teardrop – a mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP. A maioria dos sistemas atuais já corrigiu esses problemas. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Fragmentação de pacotes IP Atualmente, a fragmentação é utilizada para tentar dificultar a ação dos firewalls ou sistemas de detecção de intrusão (IDS), já que alguns desses equipamentos não suportam fragmentação. A ferramenta NMAP é um exemplo, pode utilizar a técnica de fragmentação para fazer varreduras. Conceitos básicos para um ataque AULA 4: ATAQUES EM REDES Segurança de redes de computadores Abordados na fragmentação IP • SYN flood (TCP); • Smurf (ICMP); • Fraggle (UDP). • Varredura • ARP poison • Buffer overflow Ataques AULA 4: ATAQUES EM REDES Segurança de redes de computadores Abordados na fragmentação IP Ataque baseado no three way handshake do TCP, utiliza as características de abertura de conexão onde quem inicia a conexão usa a flag SYN ligada. Realiza envio de uma grande quantidade de segmentos TCP com o flag SYN ligado em conjunto com falsificação de IP de origem (IP Spoofing). Resultado, ao atingir a quantidade máxima de conexões, incapacita a vítima de atender às conexões legítimas. Ataques - syn flood AULA 4: ATAQUES EM REDESSegurança de redes de computadores Ataque baseado no protocolo ICMP, mensagem do tipo echo request. Realiza uma grande quantidade de pings destinados ao endereço de broadcast da rede e a origem é o endereço IP do host vítima (IP Spoofing). Ataques - smurf AULA 4: ATAQUES EM REDES Segurança de redes de computadores Ataque fraggle é uma variação do ataque smurf . O smurf utiliza ICMP – echo request e o fraggle UDP echo. Ataques - fraggle AULA 4: ATAQUES EM REDES Segurança de redes de computadores A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter diversas informações como IP, porta, estado e serviço, podendo obter também versão do SO e dos Serviços. Ataques - varredura AULA 4: ATAQUES EM REDES Segurança de redes de computadores Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de executar um ataque de man-in-the-middle, onde o atacante se interpõe (logicamente) entre uma conversação de duas ou mais estações, utilizando o ARP spoofing. Ataques - ARP poison AULA 4: ATAQUES EM REDES Segurança de redes de computadores Para entender esse tipo de ataque, inicialmente é necessário relembrar a definição de: Buffer – são áreas de memória criadas pelos programas para armazenamento de dados, que se encontram em processamento. Esse buffer tem tamanho definido baseado na quantidade e no tipo dos dados a serem armazenados. Ataques - buffer overflow (estouro de buffer) AULA 4: ATAQUES EM REDES Segurança de redes de computadores O buffer overflow (estouro do buffer) pode deixar o programa receber mais dados que o buffer suporta armazenar. Se o referido programa não tratar essa possibilidade, pode ocorrer o armazenamento em áreas de memória próximas, corrompendo os dados ou travando o sistema e, na pior das hipóteses, executar um código explorando alguma vulnerabilidade. Ataques - buffer overflow (estouro de buffer) AULA 4: ATAQUES EM REDES Segurança de redes de computadores • NMAP • HPING • METASPLOIT • MEDUSA • THC-Hydra Ferramentas AULA 4: ATAQUES EM REDES Segurança de redes de computadores Realizar uma varredura com objetivo de identificar as portas de serviços que estão abertas em um host ou uma rede. Com a utilização de parâmetros, pode retornar a versão do sistema operacional e a versão dos serviços em execução. Exemplo: Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e serviço. Ferramentas - NMAP AULA 4: ATAQUES EM REDES Segurança de redes de computadores Com alguns parâmetros podemos: • O - tentar detectar o SO; • P0 - realizar a varredura do host mesmo que não responda ao ping; • Possui uma interface gráfica, a ZENMAP, para diversas plataformas de SO (Windows, Linux, MacOS, BSD etc ). Ferramentas - NMAP AULA 4: ATAQUES EM REDES Segurança de redes de computadores Facilidades do ZENMAP: • Salvar os comandos de varreduras frequentemente utilizados; • Wizard para criar varreduras; • Armazena o resultado da varredura (posterior verificação); • Compara varreduras armazenadas e verifica suas diferenças; • Cria desenho da topologia da rede (ferramenta Topology Mapping Tool). Ferramentas - NMAP AULA 4: ATAQUES EM REDES Segurança de redes de computadores • É uma ferramenta que gera e analisa pacotes; • Suporta os protocolos ICMP, UDP e TCP; • permite alteração do cabeçalho e do payload do pacote. Ferramentas - hping AULA 4: ATAQUES EM REDES Segurança de redes de computadores Funcionalidades: • Teste de firewall • Port scanning avançado • Teste de diferentes protocolos e • fragmentação na rede; • MTU Discovery manual; • Traceroute avançado; • OS Fingerprinting • Auditoria da pilha TCP/IP. Ferramentas - hping AULA 4: ATAQUES EM REDES Segurança de redes de computadores A partir de 2009, diversas variantes comerciais foram desenvolvidas. A versão livre e open source possui algumas limitações em relação comercial. Ferramentas - metasploit AULA 4: ATAQUES EM REDES Segurança de redes de computadores É um framework, open source, criado por H. D. Moore, com o objetivo de acelerar o desenvolvimento, os testes e a utilização de exploits, além de permitir a criação de seus próprios módulos de exploits. Possui um número considerável de exploits, payloads e ferramentas para teste de vulnerabilidades em diversas plataformas, sistemas operacionais e servidores. Ferramentas - metasploit AULA 4: ATAQUES EM REDES Segurança de redes de computadores É usada para ataques de força bruta a fim de descobrir login/senha remotamente. É uma ferramenta que obtém enorme sucesso quando os usuários utilizam senhas fáceis (fracas). Resumindo, não há uma política de senhas implementada, permitindo senhas fracas, como sequências numéricas, datas, palavras do dicionário etc. Além da política de senhas, o administrador deve bloquear usuários com falhas de logon sucessivas, implementar um Sistema de Detecção de Intrusos (IDS) e realizar auditoria nos logs. Ferramentas - medusa AULA 4: ATAQUES EM REDES Segurança de redes de computadores Ferramenta muito semelhante à Medusa. Ataca login/senha nos diversos protocolos, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros. Ferramentas - THC Hydra AULA 4: ATAQUES EM REDES Segurança de redes de computadores Ataques mais frequentes • Força Bruta – SSH, POP3 • Força Bruta – FTP, WordPress • Ataques a servidores Web com CMS defacement, hospedagem de malware/phishing, DDoS; • Exploração de senhas através força bruta; • CMS desatualizados (pacotes/plug-ins prontos); • DDoS - plug-ins WordPress e Brobot no Joomla. Ataques Partindo de Provedores de Cloud • Clientes comprometidos hospedando phishing/malware; • VMs compradas por atacantes gerando ataques diversos: o enviando spam via proxies abertos; o ataques de força bruta; o realizando ligações abusando servidores SIP/VoIP; o hospedando servidores DNS maliciosos. 3º Fórum brasileiro de csirts AULA 4: ATAQUES EM REDES Segurança de redes de computadores Ataques mais frequentes Ataques Envolvendo DNS • Em modems e roteadores banda larga (CPEs) comprometidos; • Infraestrutura de DNS de provedores de banda larga comprometida; • Servidores DNS recursivos respondendo incorretamente. 3º Fórum brasileiro de csirts AULA 4: ATAQUES EM REDES Segurança de redes de computadores Ataques mais frequentes Fraudes • Boletos alterados o 2ª via de boleto falso, DNS malicioso. • Phishing clássico o Centenas de variações para a mesma URL. o Ataques com amplificação • Distributed Reflected Denial-of-Service (DrDoS) o Protocolos mais usados: DNS, SNMP, NTP, Chargen. 3º Fórum brasileiro de csirts AULA 4: ATAQUES EM REDES Segurança de redes de computadores
Compartilhar