Segurana em Redes de Computadores

Prof. Lincoln Herbert Teixeira lincolnherbert@gmail.com

1/31

Tipos de Ataques
Pilha TCP/IP 1- Camada Fsica; 2- Camada de Enlace; 3- Ataques STP e Vlans; 4- Camada de Transporte; 5- Camada de Aplicao;

2/31

Camada Fsica
PROBLEMAS: Indisponibilidade de Servios: - Corte de Cabos e Fibras; - Fontes eletromagnticas prximo de cabos de cobres; - Alta tanso aplicadas em redes eltricas; - Interferncia em redes sem fio;

3/31

Soluo

Reestruturao da Infra-estrutura: - Rede eltrica e rede de dados; - Implementar redundncia; - Rede sem fio: longe de interferncia eletromagnticas e canais menos poluidos;

4/31

Camada de Enlace
MAC Address: - MAC Spoofing (interrupo de servios/man-inthe-middle); Tabela CAN(Content-Addessable Memory): - Overflow memria normal, tamanho limitado; - 1999 Ian Vitek MACOF; - Inundao de MAC invlido 155000 p/min; Resultado: Switch = HUB Possibilitando ataque: Man-in-the-middle
5/31

Soluo

Switches Gerenciveis: - Controlar e monitorar trfego por porta/Vlan; - Detectar uso no autorizado de ferramentas de monitoramento (snnifer); - MAC Spoofing avoid;

6/31

Funcionamento DHCP

7/31

Problemas?

- DHCP Starvation (MAC falso / DHCP falso); - DHCP Offer falso antes do verdadeiro;

8/31

Soluo

- Switches inteligentes que possuam ferramentas de segurana que no permitam mais de um endereo MAC em uma porta.

9/31

ARP Address Resolution Protocol

Protocolo simples Mapeia IP para MAC; Essencial para comunicao TCP/IP; No possui recursos de segurana; Problemas ARP Spoofing IP ou MAC falso: - man-in-the-middle; - DOS; Solues - IP/MAC manual (invivel em alguns casos); - Ferramentas de monitoramento / auditoria, software de inventrio;
10/31

VLANs e STP
Vlan: boa proteo na camada de Enlace; 802.1Q padro aberto; M configurao: - Vlan hopping: invasor tenta enviar dados para hosts

que esto em outras VLANs atravs da alterao da tag que diz a qual VLAN pertence o dado, o que permite ao atacante criar um link em modo trunk entre ele e o switch, e dessa forma ter acesso a todos os hosts em todas as VLANs configuradas.

- loops de rede;
11/31

STP
- Spanning Tree Protocol (802.1D); - Ataque envio de broadcasts de configurao STP ou mudanas de topologia atravs dos BPDUs (Bridge Protocol Data Unit), forando reclculos STP e esperando que o atacante se torne o root bridge; - 30s a 45s para reeleger root bridge DOS; Para Evitar: - Monitorar trfego de rede; - Configuraes de switch;
12/31

Camada de Rede
- IP - Internet Protocol - ICMP - Internet Control Message Protocol; - Servio de datagramas no confivel - melhor esforo; - Pacote sem garantias podendo chegar desordenado ou duplicado ou simplesmente perdido por inteiro; - Confiabilidade camada de transporte; -Ataques: Negao de Servio e Invaso de Privacidade;
13/31

Sniffing de pacotes
- Monitoramento de trfego em redes comutadas; - Ferramentas: dsniff, tcpdump, wireshark; - Informaes de camadas superiores so emcapsuladas em IP e podem ser divulgadas; - POP3, SMTP, SNMP etc. transmitem senhas em texto plano e tambm pode ser encontrados dados sensveis; Solues: - Switches gerenciveis, VPNs criptografadas, IPSec;
14/31

IP Spoofing
- Invasor utiliza de um endereo IP confivel (falsificado) para se comunicar com um host a fim de obter acesso no autorizado a esse host. - O atacante pode iniciar um ataque de negao de servio atravs do envio de dados com o endereo IP de origem falsificado. - O receptor envia de volta respostas com grande quantidade de dados para o IP atacado, resultando em um ataque de inundao - Envio de dados utilizando endereos de vrios hosts - ataque de negao de servios distribudo DDOS;
15/31

Kernel contra IP Spoofing

rp_filter - Para habilitar a proteo IP spoofing no Kernel para todas as interfaces: # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter - Para habilitar apenas na interface eth0: # echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
16/31

Protocolos de Roteamento

- Problemas principalmente nos roteamentos dinmicos RIP, BGP e OSPF; - Quando esto configurados de maneira errada, podem permitir que atacantes injetem rotas falsas nas tabelas de roteamento; - Permite DOS ou captura de dados;

17/31

ICMP
- Troca de mensagens de controle entre hosts e routers; - Mensagens de Time Exceeded ou Destination Unreachable - DOS; - Mensagens de Redirect - fora redirecionamento; Desabilitar redirecionamento de mensagens: /proc/sys/net/ipv4/conf/all/accept_redirects

18/31

Ping
- Verificar conectividade; - Ping Flooding inundao de pacotes icmp; Soluo - Filtro de pacotes (firewall) que limita o numero de mensagens ICMP por um determindado tempo. - Problema: pode bloquear mensagens verdadeiras;
19/31

Camada de Transporte
TCP threeway handshake: SYN - SYNACK ACK SYN Flood grande quantidade de SYN sem enviar ACK, alocao de recurso da mquina trava ou reinicia; LAND land.c envia pacotes com o prprio endereo do host leva p/ 100% a CPU Soluo: filtro de pacote SYN / firewall pessoal;
20/31

TCP
Man-in-the-midle: - TCP Connection Hijacking (desvio); - Assume o controle da conexo no momento do triplo handshake, ou atravs de estado desincronizado; - injetar pacotes forjados porm com nmeros de sequncia corretos modifica ou injeta comandos na conexo; - difcil de ser identificado;
21/31

UDP
Protocolo simples, no orientado a conexo; UDP Flooding: - Grande quantidade de pacotes, endereados a portas aleatrias; - Sobrecarga, falha do sistema; Soluo: - filtro de pacotes;
22/31

TCP e UDP scan

Nmap: - Descobre quais portas TCP e UDP esto abertas; Soluo: - IDS Identificador de Intruso;

23/31

Camada de Aplicao

24/31

DNS
- Autoritativos: responde consulta global; - Recursivo: consulta local; Falha: - Recursivo aberto: - Cache poisoning: redireciona clientes p/ site falso; - DdoS: consulta DNS forjado; Solues: - chroot jail; - Atualizaes e correes; - TSIG DNS Transaction Signatures; - DNS validation Option/View; 25/31

Web Server
- Vulnerabilidades de scripts, ex: CGI, PHP; - Permisso de leitura e execuo no servidor; - DoS; Soluo: - Patchs de segurana, sistema atualizado; - remover mdulos add-on (mod_php, mod_cgi, mod_perl); - executar scripts com suEXEC ex: no id APACHE; - no executar servidor web como root; - monitorar modificaes de arquivos;
26/31

Softwares em geral

Exemplo CVS vulnerabilidade na porta TCP 2401; - buffer overflow; - FTP: usurios annimos apenas leitura; - Sempre que possvel utilizar conexes criptografadas (ex: ssh, IPSec, PGP);

27/31

Mail

MTA Mail Transport Agent: - SMTP porta 25; - buffer overruns e heap overflows; - open relay: spam, lista negra, perda de banda til;

28/31

SNMP
Simple Network Management Protocol; Padro de Monitoramento e Configurao; Habilitado por default em novos equipamentos; SNMP v1 e v2 mtodo de autenticao fraco; Community, porta 161 UDP no encriptada; Soluo: - Criar 2 community public(read) e private(w r); - SNMP v3 autenticao e encriptao; - Altere a community padro; - firewall: apenas mquinas confiveis conectar SNMP;
29/31

OpenSSL

Vrias Aplicaes utilizam OpenSSL: Apache, Sendmail, LDAP, SSH, FTP; Se a verso est vulnervel, todos os sistemas tambm estaro.

30/31

31/31