Ildomar Gomes de Carvalho Junior. Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo

Tamanho: px
Começar a partir da página:

Download "Ildomar Gomes de Carvalho Junior. Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo"

Transcrição

1 Ildomar Gomes de Carvalho Junior Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo Joinville 2012

2 Ildomar Gomes de Carvalho Junior Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo Relatório Final de Trabalho de Conclusão de Curso (TCC) apresentado ao Curso de Graduação em Ciência da Computação, da Universidade do Estado de Santa Catarina (UDESC), como requisito parcial da disciplina de Trabalho de Conclusão de Curso. Orientador: Rafael Rodrigues Obelheiro Doutor Joinville 2012

3 Ildomar Gomes de Carvalho Junior Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo Relatório Final de Trabalho de Conclusão de Curso (TCC) apresentado ao Curso de Ciência da Computação da UDESC, como requisito parcial para a obtenção do grau de BACHAREL em Ciência da Computação. Aprovado em BANCA EXAMINADORA Rafael Rodrigues Obelheiro Doutor Maurício Aronne Pillon Doutor Guilherme Koslovski Doutor

4 "It seems you ve forgotten my very first lesson, Doctor. When you open your mind to the impossible, sometimes you find the truth." Walter Bishop

5 Agradecimentos Agradeço primeiramente aos meus pais, não apenas pelo que fizeram e sacrificaram por mim durante minha graduação, mas porque absolutamente tudo o que consegui até hoje na minha vida foi por causa de vocês. Vocês me deram força e foram minha inspiração até agora, e continuarão a ser por toda a minha vida. Agradeço ao meu orientador Rafael Rodrigues Obelheiro pela paciência, pelo companheirismo, pelos sábios conselhos e pelos puxões de orelha quando foram necessários. Em cada trocado, cada encontro e cada reunião você conseguiu me fazer sentir que as madrugadas que passei acordado fazendo este trabalho valeram a pena. Não consigo imaginar um tutor melhor para me guiar durante o desenvolvimento deste trabalho. Agradeço aos meus avós Angelo Brandalise e Cecília Menezes que sempre me mostraram que a vida é o resultado muito trabalho e muito estudo. Meu único arrependimento foi não ter concluído esta etapa da minha vida a tempo, para que vocês pudessem ver que seus incentivos valeram a pena. Agradeço aos [itn] por me darem apoio, força e por não me deixar enlouquecer durante estes anos de graduação. Obrigado por me escutar durante meus momentos de insanidade, por aturar meus longos desabafos e pelo enorme incentivo que me deram para que eu nunca desistisse. Agradeço aos meus colegas de graduação pela ajuda mútua durante este período, em especial ao Christian Juliano Pereira e a Gabriela Salvador Thumé. Juntos formamos uma grande equipe e levarei para sempre comigo esse espírito de união e de parceria. Sem todos vocês, estes anos seriam insuportáveis. Agradeço ao professor Vilson Vieira por ter me apresentado a computação física. Graças a você eu pude achar meu caminho na computação. Agradeço também a todos os outros que fizeram parte desta etapa da minha vida e que porventura não mencionei aqui. Professores, amigos, família, todos vocês foram peças deste quebra cabeça bizarro.

6 Resumo Microcontroladores e conversores serial-ethernet são utilizados em sistemas de controle industrial para a comunicação e controle de diversos dispositivos, como uma alternativa de baixo custo a sistemas computacionais microprocessados. Dada a importância do ambiente em que são aplicados, estes dispositivos devem ser robustos, haja vista o risco de causar danos em equipamentos e no processo de manufatura de produtos para as organizações que os utilizam. Além do dano financeiro, o mau funcionamento destes microcontroladores e conversores pode trazer riscos à integridade física de pessoas que possam estar operando alguma máquina que depende do bom funcionamento deles. Este trabalho tem por objetivo fazer uma avaliação da segurança da pilha TCP/IP do microcontrolador e conversor serial-ethernet EM1206 fabricado pela Tibbo, por meio de técnicas de injeção de faltas através da rede. Palavras-chave: Injeção de Falhas; Injeção de Ataques; Módulos Embarcados; Conversor Serial-Ethernet; Microcontroladores; Teste de Segurança; Tolerância a Falhas, Tibbo, EM1206.

7 Abstract Microcontrollers and serial-to-ethernet converters are used in industrial control systems for communication and control of various devices, as a low cost alternative to microprocessor-based computer systems. Given the importance of the environment in which they are applied, these devices must be robust, given the risk of damage to equipments and to the manufacturing process of products for the organizations that use them. Besides the financial damage, malfunctioning of these microcontrollers and converters can bring risks to the physical integrity of people who may be operating a machine that depends on the proper functioning of them. This project aims to evaluate the security of the TCP/IP stack of the microcontroller and serial-to-ethernet converter EM1206 manufactured by Tibbo, through fault injection techniques through the network. Keywords: Fault Injection; Attack Injection; Embedded Modules; Serial-Ethernet Conversor; Microcontrollers; Security Test; Fault Toleration, Tibbo, EM1206.

8 Sumário 1 Introdução Organização do texto Sistemas de Controle Industrial Operação de um Sistema de Controle Industrial Componentes Chave de um SCI Componentes de Controle Componentes de Rede Sistemas SCADA Sistemas de Controle Distribuídos (SCD) Módulos Embarcados Tibbo Microcontroladores Conversores Serial-Ethernet Análise de Segurança de Implementações TCP/IP Conceitos Básicos de Injeção de Faltas Metodologia Para Teste de Robustez da Pilha TCP/IP Reconhecimento Identificação de Sistema Operacional Varredura da pilha TCP/IP Varredura TCP Varredura UDP

9 3.4 Análise da Aleatoriedade do ISN Pacotes Malformados Cabeçalho IP Cabeçalho TCP Cabeçalho UDP Fuzzing Fuzzing de Protocolos de Base HTTP Fuzzing Inundação de Pacotes Ferramentas Nmap Nessus Wireshark IP Stack Integrity Checker BED Scapy Resultados Visão Geral Ambiente de testes Ethernet IP UDP TCP Flooding Aleatoriedade Fraca do Número Inicial de Sequência

10 4.6.3 Reset Spoofing HTTP Autocompletar Senha Flooding Roubo de Cookie Transmissão de Senha Não Criptografada Página Web Telnet DS Manager Discussão dos Resultados Conclusão Sugestão de Trabalhos Futuros A Apêndice 71 A.1 Relatório do Nessus - Etherleak A.2 Relatório do Nessus - Número de Sequência Inicial A.3 Relatório do Nessus - Reset Spoofing A.4 Relatório do Nessus - Autocompletar Senha A.5 Código Fonte - Teste do Gerador de ISN A.6 Código Fonte - Reset Spoofing A.7 Código Fonte - Rouba Cookie, lado cliente A.8 Código Fonte - Rouba Cookie, lado servidor Referências Bibliográficas 86

11 8 1 Introdução Apesar de a comunicação via porta serial estar quase extinta nos atuais desktops e notebooks (SALES, 2009), ela ainda é muito utilizada no meio industrial (CHEN; JIANG, 2009), como por exemplo em servomotores, módulos biométricos e sensores RFID (Radio Frequency Identification). A conversão do sinal serial para Ethernet estende recursos, facilitando a administração, monitoramento, comunicação e organização física e virtual de dispositivos e máquinas que utilizam este meio de comunicação, o que acabou integrando este dispositivo às indústrias (TIBBO, 2012b). Um microcontrolador é um dispositivo que contém processador, memória e dispositivos de entrada e saída, tudo em um único chip. Embora sejam menos poderosos do que sistemas computacionais microprocessados, os microcontroladores apresentam cada vez mais recursos, aliados a um baixo custo de aquisição. Microcontroladores são utilizados em automação residencial, como por exemplo em controle de sistemas de iluminação, climatização e de multimídia, e também em automação industrial para controle de motores, controle de acesso, monitoramento de equipamentos, automobilística e robótica industrial, por exemplo (BRUDNA, 2000). Diante do extenso uso e evolução da automação, temos que assegurar o nível de qualidade dos equipamentos que utilizamos. O mau funcionamento pode causar defeito na fabricação de produtos ou mesmo danos e até a perda completa de máquinas que são operadas ou controladas por meio destes, o que pode implicar grande prejuízo financeiro e risco à integridade física de funcionários que as operam ou que trabalham no mesmo ambiente delas. No caso de dispositivos conectados à Intranet de uma corporação ou à Internet, grandes empresas vem sofrendo com outro problema: ataques virtuais (BAUER et al., 2008). Seja para espionagem industrial ou para danificar intencionalmente equipamentos, na corrida pelo dinheiro, empresas de grande porte sofrem com esse tipo de ataque, os quais visam o prejuízo da corporação. Segundo pesquisa da Symantec, ataques virtuais causaram prejuízos de R$ 3,3 milhões às empresas, em média, no ano de 2010 (ONLINE, 2010), em escala mundial. No Brasil o

12 1 Introdução 9 prejuízo chegou à casa de R$ 500 mil por empresa (PEREIRA, 2010). O mais alarmante é o fato de que não são necessários equipamentos altamente sofisticados de grande custo; tudo o que o atacante necessita é de um computador, conhecimento sobre a empresa e sobre os protocolos de rede que ele deseja atacar, conhecimento que na maioria das vezes está disponível para todos por intermédio da Internet. Como o número de empresas que utilizam comunicação em rede e a Internet para facilitar e melhorar o trabalho de seus funcionários vem crescendo (BRIZZI, 2009), atacantes estudam brechas na segurança de equipamentos para poder penetrar nos sistemas causando danos. Aplicando este risco aos conversores e microcontroladores, caso uma brecha na segurança dos equipamentos seja encontrada, o atacante poderia acabar tomando controle dos dispositivos, alterando mensagens e comandos que são enviados por intermédio destes. Ele também poderia utilizá-los para roubar informações que passam por eles ou mesmo impedir o funcionamento dos módulos e conversores, desativando-os remotamente. Estas falhas são perigosas, se considerarmos que muitas vezes esses dispositivos estão inseridos em sistemas que deveriam ser à prova de erros. Por exemplo, em um sistema de controle de acesso, a invasão a um conversor ou microcontrolador poderia fornecer acesso indevido a uma pessoa não autorizada, roubo de informações sobre acesso a um setor ou travamento do sistema, causando a negação do acesso a todos. Em um servomotor conectado a um destes dispositivos usados, o atacante poderia usar brechas de segurança para alterar os parâmetros de configuração, enviar comandos não autorizados ou causar o travamento do servomotor. Visto que este tipo de motor é inserido em máquinas que necessitam de alta precisão como máquinas de controle numérico computadorizado (CNC), guilhotinas e prensas, erros e falhas podem levar à perda do produto fabricado, da máquina na qual ele está inserido ou até oferecer riscos à integridade física de quem a opera. Levando em conta os aspectos considerados sobre a importância de operar um equipamento seguro, este trabalho de conclusão de curso visa analisar a robustês do dispositivo estudado, buscando vulnerabilidades que tenham o potencial de violar as propriedades de segurança, a saber, integridade, confidencialidade e disponibilidade (ISO/IEC, 2008), por meio de injeção de ataques. A injeção de ataques é realizada por meio de envio de pacotes de dados especialmente criados de acordo com vulnerabilidades já conhecidas ou por pacotes de dados criados

13 1.1 Organização do texto 10 automaticamente, visando buscar outras não conhecidas anteriormente. Uma vez que uma vulnerabilidade é atingida, ela manifesta-se e então podemos detectá-la (ANTUNES et al., 2004). Para este trabalho foi desenvolvida uma pesquisa sobre as principais técnicas de injeção de ataques e das ferramentas disponíveis na Internet que melhor se adequarem ao equipamento escolhido para testes, a saber, o módulo embarcado EM1206 fabricado pela Tibbo. O motivo da escolha deste módulo é que a empresa Neoyama 1 de Joinville, Santa Catarina, o fornecerá para este trabalho. 1.1 Organização do texto No capítulo 2 é dada uma introdução sobre sistemas de controle industrial, descrevendo sistemas de supervisão e aquisição de dados (SCADA) e sistemas de controle distribuídos para que o leitor possa ter um contexto de onde os módulos embarcados da Tibbo estão inseridos na indústria, assim como uma breve descrição das características de dispositivos Tibbo que são releventes a este trabalho. No capítulo 3 é feita uma introdução sobre injeção de falhas e ataques, técnica utilizada neste trabalho para descobrir vulnerabilidades no módulo Tibbo. Ainda neste capítulo é feita uma descrição sobre técnicas de identificação de sistema operacional, varredura de portas TCP/IP, ataques explorando pacotes malformados, ataques utilizando exaustão de recursos e as ferramentas utilizadas para executar estas técnicas. No capítulo 4 são descritos os testes realizados no módulo EM1206 e os resultados obtidos, divididos de acordo com o protocolo da pilha TCP/IP testado. Por fim, no capítulo 5 são apresentadas as conclusões obtidas através deste trabalho. 1

14 11 2 Sistemas de Controle Industrial Sistema de Controle Industrial é um termo geral que engloba diversos tipos de sistemas computacionais, os quais são utilizados para automatizar processos industriais (MELTON et al., 2004). Dependendo da aplicação na qual estão sendo usados, eles podem ser chamados de Sistemas de Supervisão e Aquisição de Dados (Supervisory Control And Data Acquisition, ou Sistemas SCADA) ou de Sistemas de Controle Distribuídos (SCD) (HART, 2004). SCIs são usados em vários setores da indústria, como produção e distribuição de energia elétrica, fornecimento e tratamento de água, produção e distribuição de petróleo e combustíveis e na telecomunicação (RALSTON et al., 2007), onde é necessário o constante monitoramento de dados através de sensores e correção ou alteração dos processos em execução através de seus atuadores. Devido às suas características serem bem diferentes dos computadores tradicionais, antes de ser iniciada uma discussão sobre a segurança destes equipamentos, temos que entender como eles funcionam e como os microcontroladores e conversores serial-ethernet da Tibbo encaixam-se nesta categoria de sistema computacional. Este capítulo descreve a operação típica de um SCI, dá uma visão geral sobre sistemas SCADA e SCD, e mostra como os módulos da Tibbo enquadram-se neste tipo de sistema. 2.1 Operação de um Sistema de Controle Industrial Apesar de existirem inúmeras variantes de sistemas de controle industrial, todos seguem basicamente o mesmo fluxo, exemplificado pela figura 2.1. Os principais componentes de um sistema são os seguintes: Processos: Conjunto de tarefas de um sistema que transformam matérias-primas em produtos ou serviços. Atuadores: São dispositivos responsáveis por modificar os processos de um sistema no qual eles estão inseridos, em resposta a comandos enviados manualmente ou auto-

15 2.1 Operação de um Sistema de Controle Industrial 12 maticamente (NIGRO; DOMINGUES, 2010). Sensores: São dispositivos que recebem estímulos do meio no qual estão inseridos e os convertem em sinais elétricos que são utilizados para monitorar o estado de um determinado processo (FUENTES, 2005). Controlador: O controlador monitora os sensores e armazena os dados recebidos por estes, processa as informações recebidas e responde, se for o caso, ativando atuadores do sistema, os quais podem ser válvulas, switches ou motores, por exemplo. Após todo este processo ele recebe novos sinais dos sensores e faz todos estes passos novamente, fechando um laço de controle. Além disso, de acordo com as informações recebidas pelo controlador, dados são trocados entre ele, a IHM e os softwares de diagnóstico e manutenção (STOUFFER et al., 2007). Interface Homem-Máquina (IHM): É utilizada pelos operadores do sistema para monitorar o estado dos processos, interagir com os controladores, fornecer um log de informações sobre todo o sistema, configurar set points e efetuar controles manuais em casos de emergência (MELTON et al., 2004). Traduzindo literalmente, um set point é um ponto de chegada, e este ponto pode ser um objetivo que deve ser alcançado ou um estado crítico do sistema que deve ser tratado. Diagnóstico e Manutenção: São softwares que permitem aos operadores monitorar e alterar propriedades de controladores, atuadores e sensores. Na maioria das vezes é possível utilizá-los remotamente, através da Internet (FALCO, 2002). Um SCI completo pode conter não apenas um, mas sim vários elementos de cada tipo que se comunicam através de diversos protocolos de rede. Um sistema central de monitoramento, o qual será descrito na seção 2.2.1, é o responsável por monitorar várias vezes estes dispositivos durante o processo fabril (FALCO, 2002).

16 2.2 Componentes Chave de um SCI 13 Figura 2.1: Fluxo de operação básico de um SCI. Fonte: Adaptado de (HART, 2004). 2.2 Componentes Chave de um SCI Além do fluxo de operação de um SCI, é necessário descrever os componentes que formam um sistema SCADA e um SCD. Esta seção trata dos componentes de controle e de rede de um SCI Componentes de Controle Componentes de controle são hardwares que têm por objetivo executar as várias tarefas responsáveis por produzir o processo do sistema. Alguns dos principais componentes de controle de um SCI são: Sistema Central de Monitoramento (SCM): Tem a função de coletar dados provenientes das estações remotas, de acordo com os eventos que acontecem nelas, e, a partir destes dados, tomar as ações corretas para o funcionamento do sistema

17 2.2 Componentes Chave de um SCI 14 (FALCO, 2002). Unidade Terminal Remota (UTR): É uma estação remota que tem a função de controlar sensores e atuadores. Pode ser utilizada pelos operadores do sistema para realizar operações de diagnóstico e reparo no sistema (FALCO, 2002). Dispositivos Eletrônicos Inteligentes: Um dispositivo eletrônico inteligente é um sensor/atuador que contém a inteligência para adquirir dados, comunicar-se com outros dispositivos e realizar controle e processamento local. Ele pode combinar entradas e saídas analógicas, um sistema de comunicação e memória em um único dispositivo. São utilizados em SCD e SCADA para controle automático (STOUF- FER et al., 2007). Controlador Lógico Programável (CLP): Controladores Lógicos Programáveis ou CLPs são responsáveis por prover o gerenciamento local de processos através de seus sensores e atuadores. São sistemas computacionais desenvolvidos para realizar funções lógicas, que são executadas por hardwares como relés e switches de luz, por exemplo. Ainda, podem implementar funções como cálculos aritméticos, controle de portas de entrada e saída e processamento de dados e arquivos (STOUFFER et al., 2007). Outro componente de controle importante é a Interface Homem-Máquina (IHM), já apresentada na seção Componentes de Rede Componentes de rede são os hardwares responsáveis pela rede de comunicação entre os componentes do sistema, assim como os protocolos utilizados para realizar esta comunicação. Alguns dos principais componentes de rede são: Rede Industrial: Conecta sensores e outros dispositivos a um CLP ou aos controladores do sistema. O uso deste tipo de tecnologia elimina a necessidade de uma ligação ponto-a-ponto entre o controlador e cada dispositivo e permite que um protocolo previamente definido identifique e comunique os controladores com cada sensor ou atuador (FALCO, 2002).

18 2.3 Sistemas SCADA 15 Rede de Controle: Conecta o sistema central de monitoramento às estações remotas. (STOUFFER et al., 2007). Roteador: Um roteador é um dispositivo de comunicação que transmite mensagens entre duas redes distintas. No caso de SCD, podem ser utilizados para conectar redes de área local (LAN - Local Area Network) a redes de longa distância (WAN - Wide Area Network) ou conectar duas redes LAN distintas, e no caso de sistemas SCADA, podem conectar o SCM e UTRs em redes à distância (STOUFFER et al., 2007). Modem: Equipamento que possibilita que um sistema computacional se comunique por uma linha telefônica (FALCO, 2002). No caso de sistemas SCADA, é utilizado para permitir comunicações a longa distância entre SCM e dispositivos remotos. Também pode ser utilizado em SCDs e CLPs para obter acesso remoto a funções operacionais e de manutenção, como execução de comandos, modificação de configurações e diagnósticos (STOUFFER et al., 2007) 2.3 Sistemas SCADA Sistemas SCADA são utilizados onde é necessário centralizar os dados de dispositivos que encontram-se distantes geograficamente. Visto que estas informações terão de ser transmitidos através da Internet ou de uma rede privada, a preocupação com a segurança destes dados é grande (HART, 2004). Sistemas SCADA desempenham funções vitais em infraestruturas críticas, como distribuição de energia elétrica, distribuição de petróleo e combustível, e sistemas de transporte. A falha destes sistemas de controle pode ter um impacto significativo na saúde pública e na segurança, além de grandes perdas econômicas (CÁRDENAS et al., 2008). O sistema é composto por hardware e software, fazendo parte do hardware um SCM que encontra-se no centro de controle, UTRs e CLPs que controlam sensores e atuadores, e equipamentos de comunicação que interligam SCM, UTRs e CLPs. O SCM armazena e processa as informações que vêm dos UTRs e CLPs, e responde a eles de acordo com estes dados processados. Os UTRs e CLPs então controlam os processos localmente, de acordo com a ordem recebida do SCM (HART, 2004). Além de obedecer ao controle feito pelo SCM, sensores e atuadores podem tomar

19 2.4 Sistemas de Controle Distribuídos (SCD) 16 decisões por si próprios, através de dispositivos eletrônicos inteligentes. Isso é importante em sistemas onde o tempo de resposta é um fator crítico, visto que em sistemas distribuídos podem ocorrer atrasos na transmissão de dados e até mesmo perda de comunicação. O foco de um SCADA é prover um monitoramento centralizado de dispositivos e processos, além do controle destes. O sistema é projetado para coletar informações de campo, enviar estas informações para um computador central e exibir estas informações para os operadores dos equipamentos através de uma IHM, permitindo a eles controlar e monitorar o sistema inteiro a partir de um computador central, em tempo real (STOUFFER et al., 2007). Um exemplo de sistema SCADA é demonstrado pela figura 2.2. Figura 2.2: Exemplo de um sistema SCADA. Fonte: adaptado de (STOUFFER et al., 2007). 2.4 Sistemas de Controle Distribuídos (SCD) SCDs são utilizados para controlar sistemas de produção que comunicam-se por meio de uma rede local (HART, 2004) como refinarias de óleo, estações de geração de energia elétrica e estações de tratamento de esgoto. O funcionamento destes sistemas varia de acordo com a aplicação, porém basicamente ocorre da seguinte maneira: o SCM requisita dados dos controladores que encontram-se distribuídos através da rede, os quais fornecem estas informações através do retorno das informações de seus sensores. Estes dados são então processados e transformados em comandos, enviados novamente aos controladores que os utilizam para controlar seus processos, através de seus atuadores. Existem diferentes tipos de controladores utilizados

20 2.5 Módulos Embarcados Tibbo 17 nos SCI, incluindo CLPs, controladores de máquinas e controladores de processos, dependendo da aplicação em que são utilizados (FALCO, 2002). É importante destacar também que o SCM funciona em laço, ou seja, os passos descritos acima são executados várias vezes durante todo o processo de produção. Um exemplo de um Sistema de Controle Distribuído é demonstrado pela figura 2.3. Figura 2.3: Exemplo de um SCD. Fonte: Adaptado de (LEWIS; LEWIS, 2001). 2.5 Módulos Embarcados Tibbo Os principais módulos embarcados da Tibbo são os EM203, EM500 e EM1206, mostrados na figura 2.4. Todos eles podem funcionar tanto como microcontroladores programáveis quanto como conversores serial-ethernet, tudo depende de qual firmware for carregada no dispositivo, pois é a firmware, não o hardware que dá a maioria das funcionalidades aos módulos (TIBBO, 2012c). Dentre estes dispositivos, foi escolhido o EM1206 para efetuar os testes. Esta seção é dedicada a explicar as características das firmware que dão a capacidade dos módulos serem microcontroladores programáveis ou conversores serial-ethernet, as características específicas de cada módulo que são relevantes ao trabalho e os motivos de o EM1206 ser escolhido.

21 2.5 Módulos Embarcados Tibbo 18 Figura 2.4: Módulos Embarcados da Tibbo (a) Módulo Embarcado Tibbo EM203 (b) Módulo Embarcado Tibbo EM500 Fonte: (TIBBO, 2012a). (c) Módulo Embarcado Tibbo EM Microcontroladores Os módulos embarcados da Tibbo possuem uma porta Ethernet 10/100BaseT e uma porta serial CMOS em nível TTL com os pinos de TX, RX, RTS, CTS, DTR e DSR (TIBBO, 2012d). Ainda possuem um número variável de portas de entrada e saída, que muda de acordo com o módulo escolhido. Estas portas podem ser utilizadas para receber informações de sensores ou enviar dados a atuadores de um sistema. Quando carregados com a firmware que os coloca em modo de microcontroladores, os módulos embarcados da Tibbo são programáveis na linguagem Tibbo BASIC. Ela é uma variante da linguagem BASIC desenvolvida pela Tibbo, sendo uma linguagem orientada a objetos e dirigida a eventos (TIBBO, 2012e). Para armazenar os códigos criados pelo usuário, os módulos possuem uma memória não volátil tipo flash, e para armazenar suas configurações permanentes, como por exemplo o endereço MAC, os módulos possuem uma memória não volátil do tipo EE- PROM (TIBBO, 2012f). Assim como o número de portas de E/S, o tamanho destas duas memórias varia de acordo com cada módulo. Os módulos ainda possuem internamente um pequeno servidor web, o que lhes permite hospedar pequenas páginas HTML e criar e manter sessões HTTP (TIBBO, 2012f). Estas páginas podem ser criadas para monitoramento do estado dos dispositivos e também para enviar comandos e dados aos módulos, e funcionam como IHMs dedicadas para aquele módulo.

22 2.5 Módulos Embarcados Tibbo 19 EM203 EM500 EM1206 Portas E/S Memória flash Não informado 512 KB 1024 KB Memória EEPROM Não informado 200 bytes 2 KB Servidor WEB Sim Sim Sim Comunicação Wi-fi Não Sim Sim LCD e Teclado Não Não Sim Tabela 2.1: Características dos módulos Tibbo usados neste trabalho Nem todas as características são comuns a todos os módulos. Além da comunicação via serial e Ethernet, através da adição do módulo GA1000 (figura 2.5), também fabricado pela Tibbo, alguns módulos possuem comunicação Wi-Fi, o que fornece rede sem fio para o dispositivo quando em modo programável. Ainda, outros dispositivos suportam o uso de displays LCD e teclado, que, assim como o servidor web, podem ser programados para funcionar como uma IHM. Figura 2.5: Módulo Wi-fi GA1000, fabricado pela Tibbo Fonte: (TIBBO, 2012a). A tabela 2.1 resume as características dos módulos Tibbo mencionados neste trabalho. Conforme pode ser observado através dela, o EM1206 é superior em todas as características quando comparado com os módulos EM203 e EM500. Por este motivo ele foi escolhido para o desenvolvimento deste trabalho.

23 2.5 Módulos Embarcados Tibbo Conversores Serial-Ethernet Dispositivos como CLPs, sensores RFID ou sensores biométricos são alguns equipamentos que podem ser utilizados em sistemas SCADA ou DCS. Estes equipamentos, entre outros não mencionados aqui, normalmente possuem comunicação serial, mas em sistemas SCADA/DCS geralmente se baseiam em protocolos de rede, como Ethernet. Então, como obter uma comunicação via rede a estes dispositivos? Uma resposta pode ser a utilização de conversores serial-ethernet como os fornecidos pela Tibbo. É por isso que é importante conhecer o nível de segurança destes módulos, para que seja possível tomar medidas de segurança quanto às limitações do equipamento. Quando carregados com a firmware conversora, os módulos da Tibbo funcionam como um conversor de comunicação serial para Ethernet. Os conversores possuem um buffer para enfileiramento de dados de 8KB tanto do lado serial quanto do lado Ethernet. A transmissão dos dados é feita quando o buffer contém dados suficientes para preencher um pacote TCP ou UDP, ou quando o intervalo entre os dados que chegam é maior do que o timeout do dispositivo. Os principais protocolos suportados pelos conversores serial-ethernet da Tibbo são: Internet Protocol (IP): Protocolo da camada de rede utilizado para transmitir pacotes de um dispositivo na rede (rementente) a outro dispositivo na rede (destinatário) (KUROSE; ROSS, 2006). User Datagram Protocol (UDP): Protocolo da camada de transporte utilizado pelo conversor para fazer a transferência de dados através de uma rede Ethernet. Devido as características do UDP, ele fornece uma transferência mais rápida dos dados, a desvantagem é que não há garantia de entrega dos dados (KUROSE; ROSS, 2006). Transmission Control Protocol (TCP): Protocolo da camada de transporte utilizado pelo conversor para fazer a transferência de dados através de uma rede Ethernet. Devido as características do TCP, há uma segurança maior quanto a transferência dos dados, a desvantagem é que a entrega dos dados é mais lenta, devido as verificações que ele faz para garantir esta entrega (KUROSE; ROSS, 2006). Internet Control Message Protocol (ICMP): Protocolo da camada de rede que serve para fornecer relatórios de erros sobre a comunicação com o conversor co-

24 2.5 Módulos Embarcados Tibbo 21 nectado na rede (POSTEL, 1981a). Também é usado o protocolo Address Resolution Protocol (ARP) (STEVENS, 1994), para tradução de endereços IP em endereços MAC. A configuração dos parâmetros de rede pode ser manual ou dinâmica, usando protocolos como DHCP (DROMS, 1997), PPPoE (MAMAKOS et al., 1999) e PPP/LCP (SIMPSON, 1994). Aplicações de rede tipicamente adotam a arquitetura cliente-servidor. O cliente é o componente que conecta-se a um servidor, requisita e/ou envia dados e pode encerrar a conexão (COULOURIS et al., 2005). O servidor, por sua vez, é responsável por aceitar conexões vindas de outros dispositivos e atender às requisições dos clientes conectados (COULOURIS et al., 2005). Segundo (TIBBO, 2008f), os conversores serial-ethernet podem funcionar em três modos: cliente, servidor e cliente ou servidor, conforme descrito abaixo: Cliente: Quando neste modo, o módulo rejeita qualquer conexão de entrada, permitindo apenas conexão de saída. Isto quer dizer que o módulo se conecta a outro dispositivo através de um IP e uma porta pré-definidos pelo desenvolvedor. Servidor: Quando neste modo, o módulo nunca tenta se conectar, ele apenas aceita conexões vindas de outros dispositivos. O desenvolvedor pode aceitar conexões vindas de qualquer dispositivo ou escolher qual IP pode se conectar ao Tibbo e por qual porta eles irão comunicar-se, através das opções do módulo embarcado. Cliente OU Servidor: Se usado neste modo, primeiramente o módulo embarcado assume o mesmo comportamento do modo cliente. Quando o Tibbo detecta que alguém está tentando se conectar a ele, ele encerra a conexão anterior e imediatamente assume o comportamento do modo servidor. Se esta conexão for encerrada, o módulo novamente passa a se comportar como no modo cliente. Para utilizar os módulos, o desenvolvedor precisa se preocupar em configurar dois parâmetros no conversor. O primeiro é o socket de comunicação TCP ou UDP, onde ele irá definir o endereço IP do módulo e a porta pela qual ele deseja comunicar-se, além do modo de funcionamento do módulo, cliente, servidor e cliente ou servidor. O segundo parâmetro é a porta serial, onde o desenvolvedor irá setar o baudrate, bits de paridade e controle de fluxo por RTS/CTS. Para fazer estas configurações no módulo, a Tibbo

25 2.5 Módulos Embarcados Tibbo 22 disponibiliza o software DS Manager (TIBBO, 2012g), que provê uma interface gráfica para o usuário configurar o módulo embarcado.

26 23 3 Análise de Segurança de Implementações TCP/IP Considerando que os conversores serial-ethernet e microcontroladores Tibbo são dispositivos disponíveis comercialmente e que não se tem acesso ao seu código fonte, para realizar a análise de segurança pretendida neste trabalho de conclusão de curso foi necessário conduzir um estudo experimental, tratando esses dispositivos como caixas pretas. A fundamentação teórica desse tipo de estudo é a técnica de injeção de faltas, que é introduzida na seção 3.1. A seção 3.2 apresenta um método proposto para a avaliação da segurança de implementações da pilha TCP/IP, e as seções 3.3 a 3.5 detalham as etapas desse método. Por fim, a seção 3.6 discute as ferramentas usadas na fase de experimentação do trabalho. 3.1 Conceitos Básicos de Injeção de Faltas A injeção de faltas é uma técnica experimental que consiste em provocar faltas deliberadas em um sistema sob teste e observar suas respostas, analisando se as faltas injetadas fazem com que o funcionamento do sistema desvie de sua especificação (ou seja, se o sistema falha) (ARLAT et al., 1990), (CLARK; PRADHAN, 1995), (HSUEH et al., 1997). O propósito da injeção de faltas é avaliar as propriedades de confiança no funcionamento (dependability) (AVIZIENIS et al., 2004) do sistema. A injeção de faltas foi proposta originalmente para a validação de sistemas tolerantes a faltas, tanto de software como de hardware; mais tarde, ela veio a ser usada também para avaliar as propriedades de segurança (confidencialidade, integridade e disponibilidade) de sistemas (GHOSH et al., 1998), (ANTUNES et al., 2004). Embora a confiança no funcionamento tenha uma intersecção significativa com a segurança (AVIZIENIS et al., 2004), o uso de injeção de faltas estava inicialmente focado em propriedades de confiabilidade e disponibilidade, e não em integridade ou confidencialidade. Quando a injeção de faltas é aplicada no domínio da segurança, ela também pode

27 3.2 Metodologia Para Teste de Robustez da Pilha TCP/IP 24 ser chamada de injeção de ataques (ANTUNES et al., 2004). A injeção de faltas é uma técnica que permite testar sistemas após a fase de desenvolvimento, sejam sistemas em sua versão final ou protótipos (ARLAT et al., 1990). O uso da injeção de faltas permite complementar outras técnicas, como modelagem analítica de confiabilidade, para obter uma validação mais completa do sistema (CLARK; PRADHAN, 1995). A análise dos resultados observados em um estudo de injeção de faltas permite compreender o comportamento do sistema em situações adversas e avaliar a eficácia de seus mecanismos de proteção e recuperação, além de ajudar a identificar eventuais deficiências que permitam que o sistema falhe (o que é primordial para que se possa corrigi-las) (CLARK; PRADHAN, 1995), (HSUEH et al., 1997). No contexto deste trabalho, foram injetadas faltas nos dispositivos Tibbo através da rede, enviando tráfego malicioso com o propósito de avaliar a robustez e a segurança de sua pilha TCP/IP. 3.2 Metodologia Para Teste de Robustez da Pilha TCP/IP Para conduzir um estudo de injeção de faltas, é necessário adotar uma metodologia que maximize a probabilidade de encontrar falhas no sistema (ARLAT et al., 1990). No contexto de segurança, analistas de segurança da Cisco Systems propuseram uma metodologia para testes de robustez de implementações da pilha TCP/IP (POTHAMSETTY; BALINSKY, 2003). A metodologia engloba as seguintes etapas: 1. Reconhecimento, usando técnicas para identificar remotamente o sistema operacional e descobrir quais serviços de rede estão ativos no sistema alvo; 2. Análise do grau de aleatoriedade dos números iniciais de sequência do TCP, que visa avaliar a suscetibilidade a ataques de sequestro de conexões TCP (TCP hijacking) (GONT, 2012); 3. Injeção de pacotes malformados, que visam encontrar bugs na implementação da pilha TCP/IP que possam ser usados para comprometer a segurança do alvo.

28 3.3 Reconhecimento Ataques de negação de serviço, que visam avaliar a possibilidade de exaustão de recursos computacionais do alvo, como processador, memória ou largura de banda de rede; Nas seções seguintes, os passos 1, 2, 3 e 4 serão discutidos em maior nível de detalhamento. 3.3 Reconhecimento Segundo (POTHAMSETTY; BALINSKY, 2003), as técnicas de reconhecimento têm por objetivo coletar informações sobre o dispositivo atacado. Visto que elas podem fornecer informações que ajudam o atacante a escolher quais técnicas de ataque têm maior chance de sucesso, normalmente são as primeiras a ser executadas. Neste trabalho, as técnicas de reconhecimento utilizadas serão as de identificação do sistema operacional e a de varredura da pilha TCP/IP, as quais são descritas nas próximas seções Identificação de Sistema Operacional Normalmente esta é a primeira ação executada por um atacante, com o objetivo de coletar informações sobre um determinado alvo para determinar o ponto de partida dos ataques (POTHAMSETTY; BALINSKY, 2003). Esta seção destaca o processo de reconhecimento do sistema operacional do dispositivo atacado. Esta atividade não é de um ataque propriamente dito, porém é útil para descobrir vulnerabilidades que poderão ser exploradas. Mas por que detectar o sistema operacional do dispositivo? Segundo (LYON, 2009a), algumas das razões podem ser: Determinar Vulnerabilidades: Algumas vulnerabilidades de certos sistemas operacionais já são conhecidas e quando se sabe quais são estas vulnerabilidades, um atacante pode começar por este caminho, enquanto um administrador de rede que conhece as vulnerabilidades de seus dispositivos pode tomar iniciativas para se proteger destes ataques.

29 3.3 Reconhecimento 26 Adequação de Exploits: Um exploit é um programa que explora vulnerabilidades específicas de um sistema operacional ou de um protocolo de comunicação, portanto necessitam estar de acordo com as características dos seus alvos para que sejam efetivos. Por exemplo, não faz sentido um exploit da plataforma Windows ser executado em um servidor FreeBSD. É fundamental para o atacante conhecer qual sistema operacional está atacando para que ele não cometa este tipo de erro. Detecção de Dispositivos Não Autorizados e Perigosos: Mesmo em uma rede bem estruturada, usuários podem acabar instalando dispositivos vulneráveis a ataques, o que abre brechas de segurança na rede. A detecção do sistema operacional de dispositivos em uma rede pode ajudar a localizar estes dispositivos e avaliar os riscos que eles trazem à rede. Engenharia Social: O conhecimento detalhado sobre os equipamentos que uma rede possui pode conceder acesso privilegiado ao atacante, através de engenharia social. Por exemplo, o atacante pode comunicar a um administrador que encontrou uma brecha de segurança e solicitar que ele instale um patch de correção, o qual na realidade pode ser um vírus, um cavalo de tróia ou mesmo um keylogger criado pelo atacante. Caso o atacante seja bem convincente, detalhando aspectos do equipamento que só alguém da equipe de suporte deveria conhecer, o administrador pode acabar instalando o arquivo solicitado, abrindo uma brecha na segurança da rede. Softwares que detectam o sistema operacional de dispositivos têm uma base de assinaturas com características específicas de diversos sistemas operacionais diferentes, em especial as particularidades de como a pilha TCP/IP implementa aspectos deixados em aberto ou ambíguos nas especificações dos protocolos. Por exemplo, o Nmap (LYON, 2009a), uma ferramenta conhecida que oferece esse tipo de detecção, envia vários pacotes TCP e UDP para o dispositivo e então analisa as respostas que recebe do mesmo. A partir destas respostas o Nmap consulta sua base de assinaturas e então decide qual provavelmente é o sistema operacional do dispositivo analisado. Por depender destas informações, este tipo de software contém apenas informações sobre os sistemas operacionais mais conhecidos, sendo difícil manter uma base de dados atualizada com todos os sistemas operacionais existentes. Neste trabalho, o sistema operacional dos módulos embarcados já é conhecido, chamase Tibbo OS (TIBBO, 2012h), e portanto não é necessário utilizar métodos para fazer

30 3.3 Reconhecimento 27 esta descoberta. Além disso, por tratar-se de um sistema embarcado, as aplicações para este dispositivo são muito específicas, o que faz com que a probabilidade da detecção correta do sistema operacional seja muito baixa. Ainda assim, é interessante saber qual é o comportamento dos softwares de detecção utilizados diante dos módulos embarcados da Tibbo por alguns motivos, a saber: A base de assinaturas dos softwares de detecção, além de ser atualizada pela própria equipe de desenvolvimento, normalmente também é atualizada por informações que os usuários enviam, portanto, podemos concluir que caso o sistema Tibbo OS seja identificado, ao menos uma pessoa o analisou. Também é possível que esta pessoa tenha procurado por alguma vulnerabilidade, encontrado e tenha feito algum tipo de registro sobre ela. Conforme citado anteriormente, softwares como o Nmap tentam descobrir o sistema operacional do sistema atacado através da assinatura das respostas TCP e UDP. Dado este fato, caso o sistema dos módulos da Tibbo seja detectado erroneamente, existe a possibilidade de que a pilha TCP/IP do dispositivo tenha sido feita com base na pilha TCP/IP deste sistema operacional, e apresente as mesmas vulnerabilidades que este apresenta. Devido a estas possibilidades, é interessante que seja feita uma análise de como um módulo embarcado com o sistema Tibbo OS é reconhecido por softwares identificadores de sistemas operacionais Varredura da pilha TCP/IP Existem serviços de rede que vêm instalados por padrão em vários dispositivos e que são comuns à maioria destes, por exemplo, o serviço de Telnet tem por padrão estar disponível na porta TCP 23. A varredura de portas é uma técnica que tem por objetivo detectar serviços disponíveis em um determinado alvo. Ela consiste em enviar tráfego para diferentes portas TCP/UDP em um host com o intuito de descobrir quais delas estão sendo usadas por servidores (portas abertas) e quando não estão em uso (portas fechadas). Determinar quais serviços estão disponíveis pode ser utilizado para dizer ao atacante o que atacar. Para isso, ele envia pacotes ao alvo e, de acordo com a resposta recebida,

31 3.3 Reconhecimento 28 é possível descobrir se um serviço está disponível (GATES et al., 2006). Esta seção tem por objetivo descrever quais são as principais técnicas de varredura de portas TCP/IP Varredura TCP O TCP é um protocolo da camada de transporte, o qual provê transmissão confiável de dados com controle de fluxo dos mesmos (KUROSE; ROSS, 2006). Uma de suas características é que ele necessita de um processo chamado de negociação em três vias, do inglês three-way-handshake, para que seja estabelecida uma conexão entre dois hosts, conforme (ARKIN, 1999) descreve: 1. O cliente envia para uma porta específica do servidor um segmento SYN, que contém o valor do seu ISN (número inicial de sequência). Resumidamente, o ISN é um número gerado aleatoriamente na criação de um socket TCP e que é responsável, entre outras coisas, por ordenar os pacotes TCP (GONT, 2012). 2. Caso a porta do servidor esteja aberta, ele envia um segmento SYN-ACK, que contém o valor do ISN gerado pelo próprio servidor e o ACK, o valor do SYN enviado pelo cliente, somado de 1. Caso a porta esteja fechada, o servidor responde com um pacote RST. 3. Por fim, caso a porta esteja aberta, o cliente envia ao servidor um segmento ACK, o qual será o valor do ISN do servidor somado de 1. O processo de handshake em uma porta aberta é mostrado pela figura 3.1, enquanto o processo de handshake em uma porta fechada é mostrado pela figura 3.2. Figura 3.1: Handshaking da conexão TCP em uma porta aberta. Fonte: Adaptado de (MESSER, 2008).

32 3.3 Reconhecimento 29 Figura 3.2: Handshaking da conexão TCP em uma porta fechada. Fonte: Adaptado de (MESSER, 2008). As sequências de mensagens do protocolo TCP são usadas como base para a descoberta de quais portas estão em uso por um serviço (abertas) e quais não estão sendo utilizadas (fechadas). Varredura SYN: Neste modo de varredura o atacante envia um pacote SYN para o alvo, como se ele estivesse querendo realmente estabelecer uma conexão com ela. Caso a porta com a qual o atacante tentou conectar-se esteja aberta, a vítima responderá com um SYN-ACK e então o atacante responderá automaticamente com um pacote RST, fechando a conexão. Caso a vítima responda com um pacote RST, isso indica que esta porta está fechada (ARKIN, 1999). Visto que para este trabalho temos acesso direto aos dispositivos, um varredura SYN é o suficiente para descobrir quais portas estão abertas e quais estão fechadas. No entanto em outras situações, dispositivos podem estar protegidos por firewalls que podem filtrar este tipo de varredura. Para casos assim, existem outras técnicas que exploram outras vulnerabilidades do TCP, descritas por (ARKIN, 1999), a saber, varreduras ACK, FIN, XMAS e NULL. Nestas varreduras, o funcionamento é basicamente o mesmo. Primeiro um pacote é enviado para o alvo. O comportamento normal de uma porta fechada é o de enviar um segmento RST informando o erro ao cliente; porém, como pode haver erros na implementação da pilha TCP/IP por alguns fabricantes, qualquer tipo de resposta deve ser identificada como um sinal de que a porta está fechada. Caso não haja nenhum tipo de resposta, este é um sinal de que provavelmente a porta está aberta. Por basear sua decisão na falta de respostas, estes métodos estão sujeitos a falsos positivos, visto que pode haver um firewall bloqueando estes pacotes.

33 3.3 Reconhecimento 30 A diferença entre os modos de varredura é que na varredura ACK, o pacote enviado é um pacote SYN-ACK; na varredura FIN, um segmento FIN é enviado, algo que não ocorre em um tráfego normal; na varredura XMAS um segmento com as flags FIN, PUSH e URG é enviado, situação que não ocorre em um tráfego normal; e em uma varredura NULL, um segmento com nenhuma flag ativada é enviado, algo que também não ocorre em um tráfego normal Varredura UDP Diferente do protocolo TCP, no protocolo UDP não é estabelecida uma conexão entre cliente e servidor antes de começar a transferência dos dados, nem há uma verificação no envio destes. Quando algo necessita ser transmitido, o cliente simplesmente envia o dado para uma porta específica do servidor, sem garantia de que os dados foram recebidos corretamente. Por este motivo, as mesmas características exploradas pelos varreduras TCP não podem ser exploradas no UDP. Devido a este fator, outra abordagem deve ser utilizada para realizar a varredura de portas UDP. Neste trabalho é utilizada a proposta sugerida por (MESSER, 2008): explorar o protocolo ICMP. Resumidamente, o ICMP é um protocolo utilizado para diagnóstico, controle e para fornecer informações sobre problemas na rede. Por exemplo, é utilizado quando um datagrama não atinge seu destino, o roteador não tem espaço em buffer suficiente para encaminhar um datagrama ou quando a porta de um determinado host não está acessível (POSTEL, 1981a). A característica a ser explorada do ICMP é a que foi citada por último. Por padrão, quando um pacote UDP é enviado para uma porta de um host que está fechada, o emissor recebe uma resposta ICMP do tipo port unreachable. Este comportamento é apresentado pela figura 3.3. Caso uma porta UDP esteja aberta, poderão acontecer duas coisas: a primeira é que não haverá qualquer resposta para o emissor, apresentada pela figura 3.4, e a segunda é que a aplicação que recebe este pacote pode responder ao emissor com algum tipo de dado, apresentada pela figura 3.5. Vale a pena lembrar que esta resposta não provém do protocolo UDP, mas sim porque a aplicação foi programada de modo que respondesse a

34 3.3 Reconhecimento 31 pacotes UDP. Figura 3.3: Varredura UDP em uma porta fechada. Fonte: Adaptado de (MESSER, 2008). Figura 3.4: Varredura UDP em uma porta aberta que não responde. Fonte: Adaptado de (MESSER, 2008). Figura 3.5: Varredura UDP em uma porta aberta que responde Fonte: Adaptado de (MESSER, 2008). Por basear-se na ausência de respostas, a varredura UDP não é totalmente confiável. A vítima pode não gerar uma resposta port unreachable por um erro de implementação do protocolo, firewalls podem bloquear pacotes UDP vindas do atacante ou bloquear respostas ICMP port unreachable enviadas pela vítima. Nestes casos, o atacante não receberá resposta alguma e interpretará a porta contactada como aberta, sendo este um falso positivo. Contudo para este trabalho o acesso aos dispositivos é direto, então falsos positivos causados por nós intermediários não ocorreram.

35 3.4 Análise da Aleatoriedade do ISN Análise da Aleatoriedade do ISN Um atacante pode interceptar dados de uma conexão TCP legítima entre dois dispositivos que comunicam-se em rede ou injetar dados nesta conexão TCP, adivinhando o número inicial de sequência (ISN) de um dos dispositivos. Quanto mais fraco o grau de aleatoriedade de geração do ISN, mais fácil este ataque é executado (POTHAMSETTY; BALINSKY, 2003). Conforme proposto por (POTHAMSETTY; BALINSKY, 2003), foram realizados testes que servirão para avaliar o grau de aleatoriedade de ISN do módulo embarcado EM Pacotes Malformados Os protocolos TCP e UDP da camada de transporte e o protocolo IP da camada de rede, todos implementados nos módulos embarcados da Tibbo, possuem regras específicas com o objetivo de encapsular e enviar dados na forma de pacotes pela rede. Quando estas regras são violadas, os pacotes são construídos de maneira incorreta. Visto que estes pacotes estão errados ou malformados, não faz sentido que eles sejam processados pelo receptor, devendo ser descartados o mais breve possível, sem que ocupem muito dos recursos que são destinados aos pacotes corretos. Porém, nem sempre é isso o que acontece. Algumas implementações podem acabar não sabendo como tratar estes pacotes errados, causando travamentos ou outras reações indesejadas no sistema. Esta seção tem por objetivo destacar quais características dos protocolos IP, TCP e UDP podem gerar este tipo de vulnerabilidade e que foram avaliadas nos módulos da Tibbo Cabeçalho IP Um pacote IP é formado de duas partes: uma são os dados a ser enviados, enquanto a outra é seu cabeçalho, que são informações que serão utilizadas para garantir que um pacote seja transmitido de um host para outro. Além disso, o destinatário poderá utilizar estas informações para que os dados possam ser processados de forma correta. O formato

36 3.5 Pacotes Malformados 33 deste cabeçalho é apresentado pela figura 3.6. Figura 3.6: Cabeçalho de um pacote IP. Fonte: Adaptado de (CHAVES, 2002). Alguns destes campos, caso modificados, podem fazer com que o pacote não possa ser entregue ao seu destino, enquanto outros podem ser modificados com o objetivo de confundir o receptor, sem prejudicar a transmissão. Nesta seção, descreveremos as opções do cabeçalho que se encaixam neste segundo caso, conforme (BYKOVA; OSTERMANN, 2002). Tamanho: O tamanho do cabeçalho de um pacote IP deve ser de no mínimo 20 bytes, enquanto o tamanho total do pacote deve ser maior do que o tamanho do cabeçalho. Caso a informação de algum destes dois campos estiver incorreta, o pacote deve ser imediatamente descartado pelo receptor. Checksum: O checksum serve para detectar erros na transmissão de pacotes, sendo que um pacote com o valor do checksum incorreto deve ser imediatamente descartado. Quando o descarte não ocorre deste modo, recursos do dispositivo, como memória e processamento, são consumidos desnecessariamente, o que pode causar o travamento do sistema. Endereço IP: Os endereços de origem e de destino de um pacote podem ser alterados, através de uma técnica conhecida como spoofing, sendo que detectar este tipo de modificação nem sempre é uma tarefa fácil. Apesar disso, detectar quando um

37 3.5 Pacotes Malformados 34 endereço definido nestes campos é inválido, é uma tarefa relativamente simples que todo dispositivo que implementa o protocolo IP deveria tratar. Como exemplo de ataque utilizando endereços inválidos, temos o ataque conhecido como Land Attack. Descrito pela primeira vez por (M3LT, 1997), trata-se de um ataque onde é enviado para a vítima um pacote TCP com a flag SYN ativada e com o IP alterado para que o IP de origem seja o mesmo IP da vítima. Segundo o relato, foi testado primeiramente no sistema operacional Windows 95 e causava o travamento do mesmo, porém não era limitado a ele. Ainda o mesmo autor apresentou uma lista de sistemas operacionais que, na época eram afetados pelo ataque e o código do ataque em si. Flag: Este campo do cabeçalho IP possui 3 bits. O bit 0 é reservado para uso futuro que, por padrão, deve estar sempre com o valor zero. O bit 1 diz se um pacote pode ser fragmentado ou não. Por fim, o bit 2 indica se este pacote é o fragmento final de um pacote fragmentado, ou não. Tamanho do Pacote: De acordo com (POSTEL, 1981b), um datagrama IP não deve ser maior do que bytes, porém utilizando de alguns artifícios é possível criar datagramas que excedam este limite. Alguns sistemas no passado não eram capazes de processar estes datagramas, causando o travamento do mesmo. Este é o ataque Ping da Morte (KENNEY, 1996). Caso seja necessário, um pacote IP pode ser fragmentado para que seu envio seja facilitado, e então ele é remontado quando atinge seu destino. Segundo (KENNEY, 1996), o último pacote pode ser alterado para que seu tamanho exceda o tamanho tradicional. Visto que os pacotes IP são processados somente após todos os fragmentos chegarem, o sistema pode sofrer um overflow no seu buffer. Apesar de ser descoberto com o ping, pacotes TCP e UDP também podem ser explorados para que causem a mesma falha. O fato mais preocupante é que o atacante necessita apenas saber o IP da vítima para que funcione, inclusive (KENNEY, 1996) realizou este teste com sucesso onde o atacante estava em Berkeley, Califórnia e a vítima em Londres, Inglaterra.

38 3.5 Pacotes Malformados Cabeçalho TCP Figura 3.7: Cabeçalho de um pacote TCP. Fonte: Adaptado de (CHAVES, 2002). Esta seção descreve quais características do cabeçalho TCP foram exploradas nos testes realizados com os dispositivos Tibbo, seguindo a linha de raciocínio do artigo (BY- KOVA; OSTERMANN, 2002). Número das Portas: De acordo com (POSTEL, 1981c), a porta de origem ou destino de um pacote TCP não pode ser zero. Pacotes com esta característica devem ser imediatamente descartados. Flags: Nem todas as combinações de flags TCP são aceitas segundo (POSTEL, 1981c). Um pacote não pode conter as flags URG e PUSH ligadas se ele não contiver dados. As combinações de flags SYN e URG ou SYN e PUSH também não são aceitas. Estas combinações inválidas formam a varredura XMAS, citado na seção Bits Reservados: A especificação original do TCP, dada por (POSTEL, 1981c), reserva seis bits para uso futuro, portanto por padrão devem estar setados como zero. Apesar de existirem estudos para o uso destes bits, nenhum deles foi implementado e por isso, configurar estes bits com valores arbitrários pode prejudicar certas implementações TCP que não sabem lidar com este tipo de caso.

39 3.5 Pacotes Malformados 36 Checksum: Sofre do mesmo problema dos checksums de pacotes IP, conforme explicado na seção anterior Cabeçalho UDP Figura 3.8: Cabeçalho de um datagrama UDP. Fonte: Adaptado de (CHAVES, 2002). Esta seção indica quais características de um cabeçalho UDP podem ser exploradas por ataques realizados com pacotes malformados. Checksum: Sofre do mesmo problema dos checksums de pacotes IP e TCP, conforme explicado na seção anterior. Número das Portas: Assim como os pacotes TCP não podem ter como porta de origem ou destino a porta zero, segundo (POSTEL, 1980) um pacote UDP também não pode Fuzzing Fuzzing é uma técnica de injeção de falhas que tem por objetivo expor falhas em aplicações inserindo nelas entradas mistas de dados válidos e inválidos (BANKS et al., 2006). Fuzzing requer três operações básicas: gerar entradas aleatórias ou inesperadas que poderiam levar a aplicação a um estado inválido, injetar essas entradas na aplicação e, por fim, observar se esta entrada causou algum tipo de falha à aplicação (BANKS et al., 2006). Este fluxo é apresentado pela figura 3.9. No geral há duas estratégias para criação de entradas faltosas: geração e mutação (BANKS et al., 2006). Geração usa uma especificação formal da entrada de dados aceita

40 3.5 Pacotes Malformados 37 pelo sistema testado para gerar um conjunto de valores de entradas válidas. Estes valores são modificados para que entradas inválidas, ou semi-válidas sejam obtidas. Entradas semi-válidas são entradas que são válidas o suficiente para que não sejam descartadas imediatamente pela aplicação, porém são inválidas o suficiente para que causem falhas ao ser consumidas pela aplicação. Figura 3.9: Fluxograma básico das iterações de um fuzzer. Fonte: Adaptado de (OEHLERT, 2005). Mutação usa uma série de entradas válidas, que, por exemplo, podem ser extraídas do uso normal da aplicação e então estas entradas são modificadas para que se obtenha valores de entrada inválidos ou semi-inválidos (BANKS et al., 2006). Na maioria dos sistemas, as entradas são dadas por arquivos, interface do usuário e registros, porém qualquer parte do sistema que recebe dados é um candidato a falhar ao receber dados inválidos. Para este trabalho o foco foi em aplicar técnicas fuzzing na interface Ethernet de dois modos: fuzzing dos protocolos de base e de fuzzing de HTTP. O motivo da escolha do protocolo HTTP para este ataque, é que ele é o único protocolo da camada de aplicação que vem instalado de fábrica nos módulos embarcados Tibbo.

41 3.5 Pacotes Malformados Fuzzing de Protocolos de Base Cada protocolo tem um conjunto de parâmetros e uma estrutura que podem ser testados, o mesmo é válido para os protocolos de rede de quaisquer dispositivos. Os protocolos de rede são especificados através das Request for Comments, ou RFCs, que são documentos considerados padrão para este tipo de protocolo. Mesmo com estas especificações disponíveis na Internet, desenvolvedores podem cometer erros durante a codificação da pilha TCP/IP, e é nestas possíveis falhas que os fuzzers de protocolos de base são focados. Um fuzzer desta categoria testa a robustez da implementação do mesmo explorando um grande conjunto de possíveis entradas inválidas ou semi-válidas, para descobrir qual delas produz comportamentos indesejados no dispositivo (GU et al., 2011). Conforme foi apresentado nas seções 3.5.1, e 3.5.3, os protocolos IP, TCP e UDP possuem uma série de campos no seu cabeçalho que devem atender a certas especificações. Casos os pacotes de rede que o dispositivo receba não atendam a estas especificações, os mesmos devem ser descartados sem que isso cause uma falha crítica no sistema. Neste trabalho foi utilizado o conjunto de ferramentas ISIC, o qual é apresentado na seção para descobrir qual o comportamento do EM1206 diante deste tipo de teste HTTP Fuzzing Os módulos EM500 e EM1206 possuem uma página HTTP instalada por padrão para a parametrização do conversor serial-ethernet. Além disso, quando em modo de microcontroladores programáveis, todos os módulos da Tibbo citados neste trabalho possuem um pequeno servidor WEB interno. Por estes motivos, foi testado o comportamento destes dispositivos diante do fuzzing de HTTP através do software Bruteforce Exploit Detector (BED), o qual é apresentado na seção 3.7. Há dois tipos de mensagens HTTP, de requisição e de resposta. Visto que a técnica de HTTP Fuzzing visa o envio de dados para um servidor WEB, para este trabalho são utilizadas apenas requisições HTTP (FAUST, 2004). As requisições HTTP são formadas por uma sequência de linhas de texto usando um conjunto de caracteres ASCII. A primeira linha é chamada de linha de requisição e contém três campos (KUROSE; ROSS, 2006):

42 3.6 Inundação de Pacotes 39 Método: O método indica qual o modo de envio dos dados, sendo que os métodos mais utilizados são GET, POST e HEAD. Através do GET é solicitado que o servidor envie ao cliente o objeto descrito no campo URL, o qual é descrito no próximo item; o POST é frequentemente usado no envio de dados para o servidor quando um usuário preenche algum formulário; e o HEAD é semelhante ao GET, onde o servidor responde com uma mensagem HTTP, sem enviar o objeto solicitado. URL: Neste campo é informado o objeto requisitado pelo cliente. Versão do Protocolo: Indica qual versão do protocolo HTTP está sendo utilizada nesta requisição, sendo a versões 1.0 e 1.1 as mais utilizadas atualmente (KUROSE; ROSS, 2006). As linhas seguintes são chamadas de linhas de cabeçalho, as quais não tem um número específico, pois dependem dos requisitos da aplicação. Através delas o cliente envia informações adicionais para o servidor, como por exemplo se a conexão é persistente, qual navegador o usuário utilizou, qual o idioma que o cliente prefere receber as informações, entre outros. O HTTP Fuzzing foca em modificar estes parâmetros com o objetivo de descobrir vulnerabilidades. Quanto mais opções forem modificadas e testadas, mais detalhado será o quanto a implementação está de acordo com a sua RFC (FAUST, 2004). 3.6 Inundação de Pacotes A inundação de pacotes, também conhecida como flood, envolve enviar um grande fluxo de dados a um dispositivo com o objetivo de consumir recursos como banda de rede, processamento da CPU e memória, por exemplo (POTHAMSETTY; BALINSKY, 2003). Neste trabalho foi avaliado o comportamento do módulo EM1206 diante de ataques flooding utilizando pacotes TCP, UDP, IP e HTTP. Para avaliar os protocolos TCP, UDP e IP foram enviados diversos pacotes, aleatorizando os parâmetros dos seus respectivos cabeçalhos através da ferramenta ISIC. Para o protocolo HTTP os testes foram feitos com pacotes legítmos, através da ferramenta BED descrita na seção O resultado normal deste teste é que, quando o

43 3.7 Ferramentas 40 número de pacotes supera os recursos do servidor web, novos pacotes HTTP são ignorados e o serviço é negado a outros hosts (LU; YU, 2006). A figura 3.10 apresenta um exemplo de ataque HTTP Flood, onde o cliente envia várias requisições do tipo GET, com o objetivo de consumir os recursos do servidor que hospeda a página. Figura 3.10: Funcionamento de um ataque HTTP flood. Fonte: Adaptado de (YATAGAI et al., 2007). Visto que o termo flood é mais utilizado do que sua tradução para o português (inundação de pacotes), deste ponto em diante será utilizado o termo em inglês. 3.7 Ferramentas Para o desenvolvimento dos testes deste trabalho, certas ferramentas de busca de vulnerabilidades e de análise de pacotes de rede foram utilizadas. Este capítulo é responsável por dar uma breve descrição destes softwares Nmap Nmap, ou Network Mapper (LYON, s.n.t.), é um software open source desenvolvido por Gordon Lyon, também conhecido como Fyodor, que tem por objetivo fazer varreduras rápidas em redes TCP/IP. Seus recursos permitem fazer o mapeamento dos hosts em uma

44 3.7 Ferramentas 41 rede, quais aplicações estes hosts estão rodando, qual o sistema operacional deles, que tipo de firewalls e filtros existem na rede, entre outras características. Neste trabalho, é utilizada a versão de linha de comandos do software para fazer a varredura de portas, entre outras atividades mencionadas no capítulo 4. O Nmap pode fornecer três respostas para identificar o estado de uma porta: open, closed e filtered. Open significa que a porta inspecionada está aberta, closed significa que a porta está fechada e filtered significa que a porta está sendo protegida por algum tipo de firewall, portanto não é possível que o Nmap determine o estado dela. Quando é feita a detecção do sistema operacional, o Nmap responde informando o nome e a versão do mesmo. Para cada busca que o Nmap efetua, ele analisa o comportamento do host, determinando assim a sua assinatura. Ao obter esta informação, ele consulta sua base de dados procurando uma assinatura semelhante, e então diz ao usuário qual é o provável sistema operacional do alvo analisado Nessus Nessus é um software open source desenvolvido por Renaud Deraison e atualmente distribuído pela empresa Tenable Network Security, cuja função é automatizar a busca por vulnerabilidades de rede em um determinado sistema (ANDERSON, 2003). O Nessus é composto de diversos plugins, sendo que cada um destes representa uma vulnerabilidade já conhecida e inserida no banco de dados oficial da ferramenta. Quando o Nessus inicia seus testes buscando por vulnerabilidades, ele executa cada um dos plugins selecionados pelo usuário e, ao final dos testes, gera um relatório quantitativo e qualitativo das vulnerabilidades encontradas (ANDERSON, 2003). Para este trabalho, o módulo EM1206 da Tibbo foi escaneado pelo Nessus utilizando todos os plugins disponíveis, para que fosse possível descobrir se ele possui alguma dessas vulnerabilidades conhecidas pelo software Wireshark Wireshark é uma ferramenta multiplataforma de análise de protocolos de rede. Possui uma interface gráfica que permite ao usuário capturar todo o tráfego que passa pela rede,

45 3.7 Ferramentas 42 fornecendo detalhes sobre cada pacote capturado. Foi criada por Gerald Combs em 1998 e hoje está sobre o poder da Wireshark Foundation sob a licença GNU GPL versão 2, contando com vários desenvolvedores pelo mundo (COMBS, s.n.t.). Algumas de suas principais funcionalidades são as de inspeção detalhada de protocolos de rede, captura e análise de pacotes em tempo real e filtro de informações, além de permitir uma análise de diversas interfaces de rede como, por exemplo, Ethernet, Bluetooth e Wi-Fi. Outra característica importante é que ele é compatível com diversos formatos de arquivo, podendo integrar suas funcionalidades com outros softwares de análise de rede (COMBS, s.n.t.). Visto que o objetivo deste trabalho é o de explorar vulnerabilidades no módulo EM1206 Tibbo através do envio de pacotes de rede, foi necessário fazer uma análise do que estes pacotes são compostos. Para esta tarefa foi utilizado o Wireshark, visto que ele pode fornecer os dados necessários para esta análise IP Stack Integrity Checker IP Stack Integrity Checker (XIAO; FRANTZEN, s.n.t.) é um conjunto de ferramentas para análise do comportamento da pilha TCP/IP de sistemas computacionais diante do envio de pacotes pseudo-aleatórios, ou seja, é um fuzzer TCP/IP. Suas ferramentas são: ESIC, que gera frames Ethernet; ISIC que gera pacotes IPv4; ISIC6 que gera pacotes IPv6; TCPSIC que gera pacotes TCP para o protocolo IPv4; TCPSIC6 que gera pacotes TCP para o protocolo IPv6; UDPSIC que gera datagramas UDP para o protocolo IPv4; UDPSIC6 que gera datagramas UDP para o protocolo IPv6; ICMPSIC que gera pacotes ICMP para o protocolo IPv4; ICMPSIC6 que gera pacotes ICMP para o protocolo IPv6; e MULTISIC que gera pacotes multicast. Todas as ferramentas geram pacotes de acordo com opções selecionadas pelo usuário. Estas opções podem alterar o tamanho dos pacotes, a versão do protocolo utilizado, checksums e a porcentagem de pacotes fragmentados, utilizando para isso valores que o usuário deseja ou mesmo gerando valores pseudo-aleatórios. Após o usuário configurar os parâmetros, o software envia estes pacotes modificados ao dispositivo testado e monitora o comportamento do mesmo (POTHAMSETTY; BALINSKY, 2003). Neste trabalho o conjunto de ferramentas ISIC foi utilizado para estudar qual o com-

46 3.7 Ferramentas 43 portamento dos sistemas embarcados Tibbo diante de ataques fuzzing dos protocolos Ethernet, IP, TCP, UDP e ICMP, e de ataques de inundação de pacotes, ambos mencionados no capítulo anterior BED BED, ou Bruteforce Exploit Detector, é um software open source escrito na linguagem Perl por Martin Muench e Eric Sesterhenn, cuja função é realizar testes fuzzing para detectar vulnerabilidades em diversos tipos de aplicações em rede (DAMAYE, 2012). Algumas das vulnerabilidades que podem ser encontradas por ele são: buffer overflows, overflow de variáveis inteiras, bugs de formato de strings, entre outros. Atualmente, o BED suporta os protocolos FINGER, FTP, HTTP, SMTP, IMAP, IRC, LDP, PJL, POP, SOCKS4 e SOCKS5 (DAMAYE, 2012). O conversor serial-ethernet EM1206 da Tibbo possui por padrão uma aplicação web hospedada dentro do mesmo, para que o usuário possa configurar todos os parâmetros do conversor. Visto que o BED pode fazer testes fuzzing do protocolo HTTP, ele foi utilizado para buscar vulnerabilidades na implementação da aplicação web Scapy Scapy é uma ferramenta open source escrita na linguagem Python por Philippe Biondi que facilita ao usuário a construção, captura e análise de pacotes de rede, suportando um número abrangente de diferentes protocolos (BIONDI, 2007). O Scapy foi desenvolvido com o objetivo de que, a partir da sua flexibilidade, o usuário possa montar exatamente os pacotes que ele queira, sem muitas restrições. Além disso ele fornece informações bem completas. Por exemplo, enquanto algumas ferramentas dizem "Esta porta está aberta"quando recebem um SYN-ACK, o Scapy informa exatamente o que ocorreu, o pode ajudar a evitar falsos positivos (WEBER, 2011). Quando foram encontradas possíveis vulnerabilidades no conversor serial-ethernet EM1206 da Tibbo, estas tiveram que ser isoladas e reproduzidas individualmente para que pudessem ser comprovadas. O Scapy foi escolhido porque a sua flexibilidade para construir e modificar pacotes de rede facilitou esta etapa do trabalho.

47 44 4 Resultados Este capítulo é responsável por apresentar os resultados obtidos neste trabalho. As próximas seções descrevem quais os protocolos de quais camadas da pilha TCP/IP foram testados, como estes testes foram executados e quais foram os resultados que estes testes forneceram. 4.1 Visão Geral Os protocolos analisados foram: Ethernet, IP, UDP, TCP e HTTP. A tabela 4.1 apresenta quais foram as vulnerabilidades encontradas em cada protocolo, assim como a seção onde estão descritos os testes que as comprovam. Protocolo Problemas Encontrados Seção Ethernet Etherleak 4.3 IP Flooding 4.4 UDP Flooding 4.5 TCP Flooding, 4.6.1, Aleatoriedade Fraca do Número Inicial de Sequência, 4.6.2, Reset Spoofing HTTP Autocompletar Senha, 4.7.1, Flooding, 4.7.2, Roubo de Cookie Transmissão de Senha Não Criptografada Tabela 4.1: Vulnerabilidades encontradas no módulo EM1206 da Tibbo. Os ambientes de testes utilizados são apresentados na seção 4.2. Além disso, as próximas seções detalham cada uma das vulnerabilidades citadas, assim como os testes executados.

48 4.2 Ambiente de testes Ambiente de testes Durante o desenvolvimento deste trabalho, dois ambientes de testes foram utilizados. No primeiro cenário, mostrado pela figura 4.1, existe um host A com o endereço IP , conectado via Wi-Fi com o roteador Há também o módulo EM1206 com o IP , conectado via Ethernet com este mesmo roteador. Figura 4.1: Cenário 1, utilizado nos testes deste trabalho. Fonte: Elaborado pelo autor. O segundo cenário utilizado é o da figura 4.2, onde há dois hosts: um host A, que poderá ter o endereço IP ou , dependendo do teste, e o host B com o endereço , ambos conectados via Wi-Fi com o roteador Por fim, novamente temos o EM1206 com o IP conectado ao roteador via Ethernet. Figura 4.2: Cenário 2, utilizado nos testes deste trabalho. Fonte: Elaborado pelo autor. Em ambos os cenários, o EM1206 estava trabalhando com a firmware de conversor serial-ethernet. Ainda com o objetivo mostrar o ambiente de testes deste trabalho, é importante mostrar o resultado da varredura de portas TCP e UDP do EM1206, além do resultado

49 4.2 Ambiente de testes 46 da detecção do sistema operacional do dispositivo através do Nmap, de acordo com o que foi proposto no capítulo 3.3. A figura 4.3 apresenta o resultado. Figura 4.3: Varredura de portas TCP e UDP do EM1206 com detecção de sistema operacional, através no Nmap. Fonte: Elaborado pelo autor. Este resultado mostra que o Nmap não conseguiu reconhecer o sistema operacional Tibbo OS (TIBBO, 2012h), conforme previsto na seção Além disso, a varredura de portas mostra três TCP portas abertas: porta 23 a qual, ao contrário do que o Nmap diz,

50 4.3 Ethernet 47 não roda o serviço Telnet, mas sim um serviço que é melhor detalhado na seção ; porta 80, a qual roda o servidor web; e a porta 1001, que é a porta utilizada para conversão serial-ethernet. Esta última pode ser alterada pelo usuário para que seja a porta que ele desejar. 4.3 Ethernet Foram realizados dois testes para realizar a busca de vulnerabilidades neste protocolo, sendo que o primeiro foi realizado com o software ESIC, descrito na seção e o ambiente de testes foi o apresentado pelo cenário 1 na figura 4.1. Ao contrário das outras ferramentas do IPSIC (algumas delas são mostradas nas próximas seções), o ESIC não possui a opção de especificar como os campos do cabeçalho do protocolo analisado serão alterados, sendo que ele aplica fuzzing em todos os campos possíveis do cabeçalho Ethernet, em uma taxa de dados de aproximadamente 6 MB/s. O ESIC pode ser executado através da seguinte linha de comando: 1 #./esic -i wlan0 -s 9c:2a:70:89:04:89 -d 00:24:77:50:57:B9 Este teste foi repetido 10 vezes, sendo que em cada uma delas o ESIC foi executado durante aproximadamente cinco minutos, porém o EM1206 não mostrou-se vulnerável aos ataques fuzzing. O segundo teste foi executado pelo scanner de vulnerabilidades Nessus, descrito na seção Este software indicou que o EM1206 possui a vulnerabilidade Etherleak, conforme o relatório gerado pelo Nessus que encontra-se no apêndice A.1. A RFC 1042 (POSTEL, 1988) especifica um tamanho mínimo para os quadros Ethernet. Caso o conteúdo do quadro não preencha este tamanho mínimo necessário, devem ser adicionados zeros a ele até que o quadro seja preenchido completamente. A vulnerabilidade chamada Etherleak acontece quando dispositivos de rede não implementam essa RFC corretamente, sendo que os dados que preenchem esse espaço restante vêm de buffers do sistema, como pedaços da memória do kernel, ou dados dos buffers de rede. Visto que estes dados podem não ser filtrados, informações importantes podem ser transmitidas abertamente (ARKIN; ANDERSON, 2003).

51 4.3 Ethernet 48 O módulo EM1206 da Tibbo possui essa vulnerabilidade. Foi verificado que, quando uma requisição ARP é feita ao Tibbo, dados do buffer de rede são acrescentados ao quadro Ethernet. Os próximos parágrafos descrevem o teste executado, onde foi possível obter dados sigilosos a partir desta vulnerabilidade. O teste que apresentou esta vulnerabilidade foi feito da seguinte maneira: utilizando o cenário 2, apresentado pela figura 4.2, foram feitas requisições ARP do host A ao EM1206. Estas requisições ARP foram feitas a partir do software Arping (HABETS, 2003), utilizando o seguinte comando: 1 # arping -I wlan Após terem sido iniciadas as requisições ARP, a página web de configuração do conversor foi acessada por um usuário legítimo no host B e então este usuário ficou navegando no sistema, gerando um tráfego de rede. Feito isso, no host A foi iniciada uma captura do tráfego de rede através do software Wireshark, descrito na seção A partir desta captura foi possível obter a senha do conversor, que foi configurada como tst. A figura 4.4 mostra em destaque o momento desta captura. Figura 4.4: Captura da senha do EM1206, devido ao Etherleak. Fonte: Elaborado pelo autor. Uma discussão mais aprofundada sobre a vulnerabilidade de Etherleak e suas possíveis causas pode ser encontrada em (ARKIN; ANDERSON, 2003).

52 4.4 IP IP Para testar a robustez da implementação do protocolo IP do módulo EM1206, foi utilizado o software ISIC, descrito na seção O EM1206 não mostrou-se vulnerável aos ataques fuzzing, porém o fluxo de dados injetado por este software, acabou causando um ataque flooding ao dispositivo, o qual é descrito a seguir. O ambiente de testes foi o apresentado pelo cenário 1 na figura 4.1. Os ataques fuzzing utilizando a ferramenta ISIC, podem ser iniciados através do seguinte comando: 1 #./isic -s d Os parâmetros -s e -d do ISIC indicam o endereço IP de origem e de destino do ataque, respectivamente. Nos primeiros testes, foi observado que o EM1206 parou de funcionar após o início dos ataques. Notou-se também que, após cessados os ataques, o dispositivo não voltou ao seu funcionamento normal, sendo necessário reiniciá-lo manualmente. Visto que o fluxo de dados gerado pelo ISIC é relativamente alto (cerca de 4 MB/s), surgiu a suspeita de que o módulo não estivesse travando devido aos ataques fuzzing, mas sim devido a um ataque flooding executado pelo software. Para testar esta hipótese, os testes foram repetidos limitando este fluxo para 1 KB/s. Para que isso seja possível, o ISIC possui um parâmetro que limita o fluxo de dados: o parâmetro -m. O novo comando executado foi: 1 #./isic -s d m 1 Quando os testes foram repetidos dessa maneira, o EM1206 não travou, o que indica que anteriormente o módulo havia travado devido a um ataque flooding. Mais alguns testes foram executados, desta vez utilizando os parâmetros -F, -V e -I: o parâmetro -F que tem a função de indicar a porcentagem de pacotes que serão fragmentados, o parâmetro -V que indica a porcentagem de pacotes que terão um número inválido de versão IP nos seus cabeçalhos e o parâmetro -I determina o número de pacotes IP que terão o campo dos seus cabeçalhos, Tamanho do Cabeçalho, alterados. Cada um destes parâmetros foi testado com os valores 25%, 50%, 75% e 100%. De todas as combinações possíveis de parâmetros e valores, 20 foram escolhidas aleatoriamente

53 4.5 UDP 50 e utilizadas nos testes, porém novamente o EM1206 não mostrou-se vulnerável aos ataques fuzzing. Três exemplos de como estes parâmetros podem ser utilizados encontram-se abaixo. 1 #./isic -s d V 25 -m 1 2 #./isic -s d F 50 -I 100 -m 1 3 #./isic -s d F 75 -V 25 -I 50 -m 1 Com o resultado destes testes, a conclusão obtida foi que o protocolo IP do módulo EM1206 não é vulnerável aos ataques fuzzing do ISIC, porém é vulnerável a ataques flooding. 4.5 UDP Para testar o protocolo UDP do EM1206, foi utilizado o software UDPSIC, apresentado na seção Assim como aconteceu nos testes com a ferramenta ISIC, o EM1206 não mostrou-se vulnerável aos ataques fuzzing executados pelo UDPSIC, porém mostrouse vulnerável ao flooding gerado. Os testes que geraram este resultado são descritos a seguir. Visto que as ferramentas ISIC e UDPSIC funcionam de uma forma bastante similar mudando apenas o protocolo no qual elas atuam, os resultados obtidos foram bastantes similares aos obtidos na seção 4.4. Para a execução destes testes, o ambiente também é o cenário 1, mostrado pela figura 4.1. A ferramenta UDPSIC executa seus testes através da seguinte linha de comando: 1 #./udpsic -s ,6789 -d ,1001 A sintaxe utilizada pelo UDPSIC é a mesma que a do IPSIC, com a diferença de que os números que estão separados por vírgula dos endereços IP, indicam as portas UDP de origem e destino do ataque, respectivamente. O fluxo de dados gerado pelo UDPSIC também foi igual ao gerado pelo ISIC. Visto que há a liberdade de configurar as portas TCP e UDP do EM1206 que estarão abertas, a porta UDP 1001 foi aberta e utilizada para a execução dos testes.

54 4.6 TCP 51 Assim como nos testes do protocolo IP, o protocolo UDP do Tibbo não mostrou-se vulnerável aos ataques fuzzing, porém mostrou-se vulnerável ao ataque flooding executado pela ferramenta. Para filtrar o real motivo do travamento, o tráfego da ferramenta foi limitado a 1 KB/s utilizando o parâmetro -m. Visto que o EM1206 não travou com este tráfego, a conclusão é que o erro foi causado por flooding. Também foram executados testes utilizando os parâmetros -F, -V e -I, já apresentados na seção 4.4. Além destes, o UDPSIC tem o parâmetro -U, onde o atacante diz o número de pacotes UDP que terão o seu valor de checksum alterados. Os valores escolhidos para todos os parâmetros foram 25%, 50%, 75% e 100% em 20 combinações aleatórias diferentes, e os resultados foram os mesmos. 4.6 TCP Para detectar vulnerabilidades no protocolo TCP, três testes foram executados. O primeiro foi feito com o software TCPSIC, descrito na seção O resultado foi que o EM1206 não mostrou-se vulnerável aos testes fuzzing executados, porém mostrou-se vulnerável a um ataque flooding executado por esta ferramenta. O segundo teste foi feito para verificar o quão eficiente é o gerador de números iniciais de sequência, teste executado pelos softwares Nmap (descrito na seção 3.7.1) e pelo software Nessus. Houve uma divergência entre os resultados. O terceiro teste também foi feito pelo Nessus, sendo que este encontrou uma vulnerabilidade onde diz que o EM1206 é vulnerável a ataques de reset spoofing. A descrição detalhada destes três testes é apresentada nas seções 4.6.1, e Flooding Visto que as ferramentas TCPSIC e UDPSIC funcionam de uma forma bastante parecida, inclusive atuando na mesma camada da pilha TCP/IP, os resultados obtidos aqui foram bastantes similares aos obtidos na seção 4.5. A sintaxe utilizada pelo TCPSIC é a mesma utilizada pelo UDPSIC: 1 #./tcpsic -s ,6789 -d ,1001

55 4.6 TCP 52 Aqui, a porta TCP 1001 do Tibbo foi utilizada para a execução dos testes e o ambiente utilizado foi o cenário 1, apresentado pela figura 4.1. O resultado encontrado foi que o módulo é vulnerável a ataques flooding, porém não é vulnerável a ataques fuzzing. Assim como nos testes com IPSIC e UDPSIC, os testes foram repetidos com o tráfego limitado a 1 KB/s e o EM1206 não travou. Por fim, foram feitos testes com os parâmetros -F, -V e -I, já apresentados na seção 4.4. Além destes, o TCPSIC tem alguns parâmetros exclusivos: -T, -u e -t. O parâmetro -T indica a porcentagem de pacotes que terão as flags TCP alteradas, o parâmetro -u diz a porcentagem de pacotes que terão a flag URG ligada e -t diz a porcentagem de pacotes que terão o valor de checksum alterados. Os resultados mantiveram-se os mesmos, o EM1206 resistiu a todas as 20 combinações de parâmetros testadas Aleatoriedade Fraca do Número Inicial de Sequência Conforme explicado na seção 3.4, se um dispositivo em rede possui um gerador do número inicial de sequência com uma aleatoriedade fraca, é possível injetar dados em uma conexão TCP já estabelecida. Para avaliar o grau de aleatoriedade do gerador de ISN do EM1206, dois softwares foram utilizados: o Nmap e Nessus, sendo que os testes foram executados utilizando o cenário 1 (figura 4.1). O Nmap categoriza a previsibilidade do número inicial de sequência do TCP em: Trivial Joke, Easy, Medium, Formidable, Worthy challenge e Good luck!, sendo Trivial Joke a aleatoriedade mais fraca e Good luck! a mais forte (LYON, 2009c). Conforme a figura 4.5 mostra (TCP Sequence Prediction), o resultado foi Good luck!, portanto a aleatoriedade do EM1206 é considerada forte. Utilizando o Nessus o resultado foi diferente. De acordo com o relatório gerado por ele e que pode ser encontrado no apêndice A.2, o Nessus avalia a aleatoriedade do gerador de ISN como fraca. Devido a esta divergência entre os resultados, foi necessário fazer uma análise manual dos pacotes para descobrir qual está correto. Para isso foi criado um script com o Scapy, o qual está no apêndice A.5. Este script envia, por aproximadamente dois segundos, segmentos SYN para o EM1206 e imprime na tela qual foi o número de sequência utilizado na resposta SYN-ACK.

56 4.6 TCP 53 Figura 4.5: Análise da aleatoriedade do gerador do ISN do EM1206 pelo Nmap. Fonte: Elaborado pelo autor. Através deste script foi constatado que o gerador de números iniciais de sequência do EM1206 simplesmente incrementa seu valor em a cada 500 ms. Esse comportamento viola a RFC 6528 (GONT, 2012), que especifica que os ISNs devem ser aleatorizados. As figuras 4.6, 4.7, 4.8 e 4.9 mostram a captura do tráfego destes pacotes feita pelo Wireshark, onde é possível ver o momento em que o gerador do número de sequência é incrementado. Dado o fato de que o EM1206 gera seus números iniciais de sequência de uma forma incremental utilizando um valor fixo, o resultado gerado pelo Nessus foi o correto. Um ponto a ser destacado sobre a análise feita por este plugin do Nessus é que ele pode gerar falsos positivos. Conforme pode ser visto em seu código fonte (DERAISON, 2002), o Nessus envia dois segmentos SYN, captura o número de sequência das respostas SYN-ACK e os compara: se eles forem iguais a aleatoriedade é dada como fraca, caso contrário ela é dada como forte. Se, no momento desta captura, o gerador do EM1206

57 4.6 TCP 54 fosse incrementado, a aleatoriedade teria sido dada como forte, o que é um falso positivo. Figura 4.6: Captura do tráfego de rede, mostrando o número de sequência do primeiro SYN-ACK gerado pelo EM1206. Fonte: Elaborado pelo autor. Figura 4.7: Captura do tráfego de rede, mostrando o momento em que o número de sequência é incrementado pela primeira vez. Fonte: Elaborado pelo autor. Figura 4.8: Captura do tráfego de rede, mostrando o momento em que o número de sequência é incrementado pela segunda vez. Fonte: Elaborado pelo autor.

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Redes. Pablo Rodriguez de Almeida Gross

Redes. Pablo Rodriguez de Almeida Gross Redes Pablo Rodriguez de Almeida Gross Conceitos A seguir serão vistos conceitos básicos relacionados a redes de computadores. O que é uma rede? Uma rede é um conjunto de computadores interligados permitindo

Leia mais

TECNOLOGIA WEB INTERNET PROTOCOLOS

TECNOLOGIA WEB INTERNET PROTOCOLOS INTERNET PROTOCOLOS 1 INTERNET Rede mundial de computadores. Também conhecida por Nuvem ou Teia. Uma rede que permite a comunicação de redes distintas entre os computadores conectados. Rede WAN Sistema

Leia mais

Marthe Ethernet A820. Manual do Usuário

Marthe Ethernet A820. Manual do Usuário Marthe Ethernet A820 Manual do Usuário Índice 1 INTRODUÇÃO... 5 2 CARACTERÍSTICAS TÉCNICAS... 6 3 CARACTERÍSTICAS ELÉTRICAS... 7 3.1 ALIMENTAÇÃO 7 3.1.1 ESPECIFICAÇÃO DA FONTE DE ALIMENTAÇÃO... 7 3.2 INTERFACE

Leia mais

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s:

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s: Tecnologia em Redes de Computadores Redes de Computadores Professor: André Sobral e-mail: alsobral@gmail.com Conceitos Básicos Modelos de Redes: O O conceito de camada é utilizado para descrever como ocorre

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Capítulo 1 Gustavo Reis gustavo.reis@ifsudestemg.edu.br - O que é a Internet? - Milhões de elementos de computação interligados: hospedeiros = sistemas finais - Executando aplicações

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

A Camada de Transporte

A Camada de Transporte A Camada de Transporte Romildo Martins Bezerra CEFET/BA s de Computadores II Funções da Camada de Transporte... 2 Controle de conexão... 2 Fragmentação... 2 Endereçamento... 2 Confiabilidade... 2 TCP (Transmission

Leia mais

Informática I. Aula 22. http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1

Informática I. Aula 22. http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1 Informática I Aula 22 http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1 Critério de Correção do Trabalho 1 Organização: 2,0 O trabalho está bem organizado e tem uma coerência lógica. Termos

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES 09/2013 Cap.3 Protocolo TCP e a Camada de Transporte 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina e não substitui a leitura da bibliografia básica. Os professores

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Prof. Macêdo Firmino Camada de Transporte Macêdo Firmino (IFRN) Redes de Computadores Março de 2011 1 / 59 Camada de Transporte Os protocolos dessa camada supervisionam o fluxo de

Leia mais

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

CCNA 2 Conceitos Básicos de Roteadores e Roteamento CCNA 2 Conceitos Básicos de Roteadores e Roteamento Capítulo 10 - TCP/IP Intermediário 1 Objetivos do Capítulo Descrever o TCP e sua função; Descrever a sincronização e o controle de fluxo do TCP; Descrever

Leia mais

Redes de Computadores. Trabalho de Laboratório Nº7

Redes de Computadores. Trabalho de Laboratório Nº7 Redes de Computadores Curso de Eng. Informática Curso de Eng. de Electrónica e Computadores Trabalho de Laboratório Nº7 Análise do tráfego na rede Protocolos TCP e UDP Objectivo Usar o Ethereal para visualizar

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3.

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3. Usando o Nmap Este artigo irá explicar como instalar e utilizar algumas funções do Nmap. Todos os comandos foram testados com a versão 3.48 do Nmap. É bem provável que alguns comandos não funcionem em

Leia mais

Camada de Transporte. Redes de Computadores I Prof. Mateus Raeder. Camada de Transporte. Camada de Transporte. Camada de Transporte

Camada de Transporte. Redes de Computadores I Prof. Mateus Raeder. Camada de Transporte. Camada de Transporte. Camada de Transporte Camada de Transporte Redes de Computadores I Prof. Mateus Raeder É responsável pela transmissão lógica dos dados A camada de enlace é responsável pela transmissão física Dois tipos de transmissão: Orientado

Leia mais

Protocolos, DNS, DHCP, Ethereal e comandos em Linux

Protocolos, DNS, DHCP, Ethereal e comandos em Linux Redes de Computadores Protocolos, DNS, DHCP, Ethereal e comandos em Linux Escola Superior de Tecnologia e Gestão Instituto Politécnico de Bragança Março de 2006 Endereços e nomes Quaisquer duas estações

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 2 - MODELO DE REFERÊNCIA TCP (RM TCP) 1. INTRODUÇÃO O modelo de referência TCP, foi muito usado pela rede ARPANET, e atualmente usado pela sua sucessora, a Internet Mundial. A ARPANET é de grande

Leia mais

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula 5-1. A CAMADA DE TRANSPORTE Parte 1 Responsável pela movimentação de dados, de forma eficiente e confiável, entre processos em execução nos equipamentos conectados a uma rede de computadores, independentemente

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Capítulo 7 CAMADA DE TRANSPORTE

Capítulo 7 CAMADA DE TRANSPORTE Capítulo 7 CAMADA DE TRANSPORTE SERVIÇO SEM CONEXÃO E SERVIÇO ORIENTADO À CONEXÃO Serviço sem conexão Os pacotes são enviados de uma parte para outra sem necessidade de estabelecimento de conexão Os pacotes

Leia mais

Redes de Computadores. Camada de Transporte

Redes de Computadores. Camada de Transporte Redes de Computadores Camada de Transporte Objetivo! Apresentar as características da camada de transporte da arquitetura TCP/IP! Apresentar os serviços fornecidos pela camada de transporte! Estudar os

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 6: Firewall Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Qual a função básica de um firewall? Page 2 Introdução Qual a função básica de um firewall? Bloquear

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL - 317 RV1

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL - 317 RV1 MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL - 317 RV1 SÃO CAETANO DO SUL 06/06/2014 SUMÁRIO Descrição do Produto... 3 Características... 3 Configuração USB... 4 Configuração... 5 Página

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

SEG. EM SISTEMAS E REDES. 03. Vulnerabilidades em redes. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 03. Vulnerabilidades em redes. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 03. Vulnerabilidades em redes Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Vulnerabilidades em redes 2) Dicionário de vulnerabilidades

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

INTERNET = ARQUITETURA TCP/IP

INTERNET = ARQUITETURA TCP/IP Arquitetura TCP/IP Arquitetura TCP/IP INTERNET = ARQUITETURA TCP/IP gatewa y internet internet REDE REDE REDE REDE Arquitetura TCP/IP (Resumo) É útil conhecer os dois modelos de rede TCP/IP e OSI. Cada

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

A Camada de Rede. A Camada de Rede

A Camada de Rede. A Camada de Rede Revisão Parte 5 2011 Modelo de Referência TCP/IP Camada de Aplicação Camada de Transporte Camada de Rede Camada de Enlace de Dados Camada de Física Funções Principais 1. Prestar serviços à Camada de Transporte.

Leia mais

Revisão. Karine Peralta karine.peralta@pucrs.br

Revisão. Karine Peralta karine.peralta@pucrs.br Revisão Karine Peralta Agenda Revisão Evolução Conceitos Básicos Modelos de Comunicação Cliente/Servidor Peer-to-peer Arquitetura em Camadas Modelo OSI Modelo TCP/IP Equipamentos Evolução... 50 60 1969-70

Leia mais

Capítulo 11 - Camada de Transporte TCP/IP e de Aplicação. Associação dos Instrutores NetAcademy - Julho de 2007 - Página

Capítulo 11 - Camada de Transporte TCP/IP e de Aplicação. Associação dos Instrutores NetAcademy - Julho de 2007 - Página Capítulo 11 - Camada de Transporte TCP/IP e de Aplicação 1 Introdução à Camada de Transporte Camada de Transporte: transporta e regula o fluxo de informações da origem até o destino, de forma confiável.

Leia mais

Aula 6 Modelo de Divisão em Camadas TCP/IP

Aula 6 Modelo de Divisão em Camadas TCP/IP Aula 6 Modelo de Divisão em Camadas TCP/IP Camada Conceitual APLICATIVO TRANSPORTE INTER-REDE INTERFACE DE REDE FÍSICA Unidade de Dados do Protocolo - PDU Mensagem Segmento Datagrama /Pacote Quadro 01010101010100000011110

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02 Prof. Gabriel Silva Temas da Aula de Hoje: Revisão da Aula 1. Redes LAN e WAN. Aprofundamento nos Serviços de

Leia mais

Curso: Sistemas de Informação Disciplina: Redes de Computadores Prof. Sergio Estrela Martins

Curso: Sistemas de Informação Disciplina: Redes de Computadores Prof. Sergio Estrela Martins Curso: Sistemas de Informação Disciplina: Redes de Computadores Prof. Sergio Estrela Martins Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina e não substitui a leitura

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

Arquiteturas de Rede. Prof. Leonardo Barreto Campos

Arquiteturas de Rede. Prof. Leonardo Barreto Campos Arquiteturas de Rede 1 Sumário Introdução; Modelo de Referência OSI; Modelo de Referência TCP/IP; Bibliografia. 2/30 Introdução Já percebemos que as Redes de Computadores são bastante complexas. Elas possuem

Leia mais

O que são sistemas supervisórios?

O que são sistemas supervisórios? O que são sistemas supervisórios? Ana Paula Gonçalves da Silva, Marcelo Salvador ana-paula@elipse.com.br, marcelo@elipse.com.br RT 025.04 Criado: 10/09/2004 Atualizado: 20/12/2005 Palavras-chave: sistemas

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Prof. Luís Rodolfo Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Redes de computadores e telecomunicação Objetivos da Unidade III Apresentar as camadas de Transporte (Nível 4) e Rede (Nível 3) do

Leia mais

Segurança de Redes. Funcionamento de um ataque. Varreduras Analisadores de vulnerabilidades. Levantamento de informações.

Segurança de Redes. Funcionamento de um ataque. Varreduras Analisadores de vulnerabilidades. Levantamento de informações. Segurança de Redes Varreduras Analisadores de vulnerabilidades Prof. Rodrigo Rocha Prof.rodrigorocha@yahoo.com Funcionamento de um ataque Levantamento de informações footprint fingerprint varreduras Explorações

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 1- MODELO DE CAMADAS 1. INTRODUÇÃO A compreensão da arquitetura de redes de computadores envolve a compreensão do modelo de camadas. O desenvolvimento de uma arquitetura de redes é uma tarefa complexa,

Leia mais

Funcionamento de ARP entre redes (sub-redes) distintas. Mecanismos de entrega. Funcionamento entre redes (sub-redes): default gateway

Funcionamento de ARP entre redes (sub-redes) distintas. Mecanismos de entrega. Funcionamento entre redes (sub-redes): default gateway Introdução Inst tituto de Info ormátic ca - UF FRGS Redes de Computadores Protocolos ARP e ICMP Aula 18 A camada de rede fornece um endereço lógico Uniforme, independente da tecnologia empregada pelo enlace

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Conhecer os modelo OSI, e TCP/IP de cinco camadas. É importante ter um padrão para a interoperabilidade entre os sistemas para não ficarmos

Leia mais

P L A N O D E D I S C I P L I N A

P L A N O D E D I S C I P L I N A INSTITUTO FEDERAL DE SANTA CATARINA CAMPUS SÃO JOSÉ SC CURSO TÉCNICO EM TELECOMUNICAÇÕES / REDES DE COMPUTADORES P L A N O D E D I S C I P L I N A DISCIPLINA: Redes de Computadores Carga Horária: 95 HA

Leia mais

Nmap Diferenças entre estados de porta (Parte 1)

Nmap Diferenças entre estados de porta (Parte 1) Autor: ryuuu Contato: ryuuu @hotmail.com Nmap Diferenças entre estados de porta (Parte 1) Embora o Nmap tenha crescido em funcionalidade ao longo dos anos, ele começou como um eficiente scanner de portas,

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Motivação Realidade Atual Ampla adoção das diversas tecnologias de redes de computadores Evolução das tecnologias de comunicação Redução dos

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

APLICAÇÃO REDE APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE LINK DE DADOS FÍSICA 1/5 PROTOCOLOS DE REDE

APLICAÇÃO REDE APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE LINK DE DADOS FÍSICA 1/5 PROTOCOLOS DE REDE 1/5 PROTOCOLOS DE O Modelo OSI O OSI é um modelo usado para entender como os protocolos de rede funcionam. Para facilitar a interconexão de sistemas de computadores, a ISO (International Standards Organization)

Leia mais

DoS: Negação de Serviço e formas de defesa

DoS: Negação de Serviço e formas de defesa DoS: Negação de Serviço e formas de defesa Viva o Linux Day RJ http://volcon.org/volday1/ Elgio Schlemer Ulbra Gravataí http://gravatai.ulbra.tche.br/~elgio 06 de Março de 2010 Introdução Problemas de

Leia mais

1. PRINCIPAIS PROTOCOLOS TCP/IP

1. PRINCIPAIS PROTOCOLOS TCP/IP 1. PRINCIPAIS PROTOCOLOS TCP/IP 1.1 IP - Internet Protocol RFC 791 Esse protocolo foi introduzido na ARPANET no início dos anos 80, e tem sido utilizado juntamente com o TCP desde então. A principal característica

Leia mais

Teleprocessamento e Redes

Teleprocessamento e Redes Teleprocessamento e Redes Aula 23: (laboratório) 13 de julho de 2010 1 2 3 ICMP HTTP DNS TCP 4 nslookup Sumário Permite fazer requisições a um servidor DNS O nslookup envia uma requisição para o servidor,

Leia mais

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP CCNA 1 Conceitos Básicos de Redes Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP Introdução ao TCP/IP 2 Modelo TCP/IP O Departamento de Defesa dos Estados Unidos (DoD) desenvolveu o modelo de

Leia mais

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso. Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.

Leia mais

Documento de Requisitos de Rede (DRP)

Documento de Requisitos de Rede (DRP) Documento de Requisitos de Rede (DRP) Versão 1.2 SysTrack - Grupo 1 1 Histórico de revisões do modelo Versão Data Autor Descrição 1.0 30/04/2011 João Ricardo Versão inicial 1.1 1/05/2011 André Ricardo

Leia mais

Camada de Transporte. Protocolos TCP e UDP

Camada de Transporte. Protocolos TCP e UDP Camada de Transporte Protocolos TCP e UDP Protocolo UDP Protocolo de transporte da Internet sem gorduras Serviço best effort, segmentos UDP podem ser: perdidos entregues fora de ordem para a aplicação

Leia mais

Ataques para obtenção de informações

Ataques para obtenção de informações Ataques para obtenção de informações Técnicas: Dumpster diving ou Trashing Engenharia Social Eavesdropping ou Packet Sniffing Scanning War dialing Firewalking Ataques para obtenção de informações Dumpster

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula Complementar - MODELO DE REFERÊNCIA OSI Este modelo se baseia em uma proposta desenvolvida pela ISO (International Standards Organization) como um primeiro passo em direção a padronização dos protocolos

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Rede de Computadores II

Rede de Computadores II Slide 1 Técnicas para se alcançar boa qualidade de serviço Reserva de recursos A capacidade de regular a forma do tráfego oferecido é um bom início para garantir a qualidade de serviço. Mas Dispersar os

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques Ataque de Dicionário www.projetoderedes.com.br Trata-se de um ataque baseado em senhas que consiste na cifragem das palavras de um dicionário e posterior comparação com os arquivos de senhas de usuários.

Leia mais

PARANÁ GOVERNO DO ESTADO

PARANÁ GOVERNO DO ESTADO PROTOCOLOS DA INTERNET FAMÍLIA TCP/IP INTRODUÇÃO É muito comum confundir o TCP/IP como um único protocolo, uma vez que, TCP e IP são dois protocolos distintos, ao mesmo tempo que, também os mais importantes

Leia mais

Nota de Aplicação. Integrando controladores em rede Ethernet com protocolo UDP. HI Tecnologia. Documento de acesso público

Nota de Aplicação. Integrando controladores em rede Ethernet com protocolo UDP. HI Tecnologia. Documento de acesso público Nota de Aplicação Integrando controladores em rede Ethernet com protocolo UDP HI Tecnologia Documento de acesso público ENA.00030 Versão 1.00 setembro-2013 HI Tecnologia Integrando controladores em rede

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais:

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: SISTEMAS OPERACIONAIS 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: I. De forma geral, os sistemas operacionais fornecem certos conceitos e abstrações básicos, como processos,

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Agenda Motivação Objetivos Histórico Família de protocolos TCP/IP Modelo de Interconexão Arquitetura em camadas Arquitetura TCP/IP Encapsulamento

Leia mais

Segurança de Redes de Computadores

Segurança de Redes de Computadores Segurança de Redes de Computadores Aula 8 Segurança nas Camadas de Rede, Transporte e Aplicação Firewall (Filtro de Pacotes) Prof. Ricardo M. Marcacini ricardo.marcacini@ufms.br Curso: Sistemas de Informação

Leia mais

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft CPE Soft Manual 125/400mW 2.4GHz CPE Soft Campinas - SP 2010 Indice 1.1 Acessando as configurações. 2 1.2 Opções de configuração... 3 1.3 Wireless... 4 1.4 TCP/IP 5 1.5 Firewall 6 7 1.6 Sistema 8 1.7 Assistente...

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

Comunicando através da rede

Comunicando através da rede Comunicando através da rede Fundamentos de Rede Capítulo 2 1 Estrutura de Rede Elementos de comunicação Três elementos comuns de comunicação origem da mensagem o canal destino da mensagem Podemos definir

Leia mais

Modelos de Camadas. Professor Leonardo Larback

Modelos de Camadas. Professor Leonardo Larback Modelos de Camadas Professor Leonardo Larback Modelo OSI Quando surgiram, as redes de computadores eram, em sua totalidade, proprietárias, isto é, uma determinada tecnologia era suportada apenas por seu

Leia mais

O modelo ISO/OSI (Tanenbaum,, 1.4.1)

O modelo ISO/OSI (Tanenbaum,, 1.4.1) Cenário das redes no final da década de 70 e início da década de 80: Grande aumento na quantidade e no tamanho das redes Redes criadas através de implementações diferentes de hardware e de software Incompatibilidade

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Redes de Computadores

Redes de Computadores 8. Segurança de Rede DIN/CTC/UEM 2008 : o que é? Dispositivo que permite conectividade segura entre redes (interna e externa) com vários graus de confiabilidade Utilizado para implementar e impor as regras

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

MÓDULO 8 Modelo de Referência TCP/IP

MÓDULO 8 Modelo de Referência TCP/IP MÓDULO 8 Modelo de Referência TCP/IP A internet é conhecida como uma rede pública de comunicação de dados com o controle totalmente descentralizado, utiliza para isso um conjunto de protocolos TCP e IP,

Leia mais

Introdução ao Protocolo TCP/IP. Prof. Gil Pinheiro UERJ/FEN/DETEL

Introdução ao Protocolo TCP/IP. Prof. Gil Pinheiro UERJ/FEN/DETEL Introdução ao Protocolo TCP/IP Prof. Gil Pinheiro UERJ/FEN/DETEL Introdução ao Protocolo TCP/IP Protocolo Inter Redes Histórico Estrutura do Protocolo TCP/IP Equipamentos de Interconexão Endereçamento

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

O conteúdo Cisco Networking Academy é protegido e a publicação, distribuição ou compartilhamento deste exame é proibida.

O conteúdo Cisco Networking Academy é protegido e a publicação, distribuição ou compartilhamento deste exame é proibida. O conteúdo Cisco Networking Academy é protegido e a publicação, distribuição ou compartilhamento deste exame é proibida. 1 Quando protocolos sem conexão são implementados nas camadas mais inferiores do

Leia mais

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br FACULDADE PITÁGORAS DISCIPLINA FUNDAMENTOS DE REDES REDES DE COMPUTADORES Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br Material elaborado com base nas apresentações

Leia mais

AULA 01 INTRODUÇÃO. Eduardo Camargo de Siqueira REDES DE COMPUTADORES Engenharia de Computação

AULA 01 INTRODUÇÃO. Eduardo Camargo de Siqueira REDES DE COMPUTADORES Engenharia de Computação AULA 01 INTRODUÇÃO Eduardo Camargo de Siqueira REDES DE COMPUTADORES Engenharia de Computação CONCEITO Dois ou mais computadores conectados entre si permitindo troca de informações, compartilhamento de

Leia mais

Administração de Servidores de Rede. Prof. André Gomes

Administração de Servidores de Rede. Prof. André Gomes Administração de Servidores de Rede Prof. André Gomes FTIN FORMAÇÃO TÉCNICA EM INFORMÁTICA ADMINISTRAÇÃO DE SERVIDORES DE REDE Competências a serem trabalhadas nesta aula Protocolos de comunicação; Como

Leia mais

Interligação de Redes

Interligação de Redes REDES II HETEROGENEO E CONVERGENTE Interligação de Redes rffelix70@yahoo.com.br Conceito Redes de ComputadoresII Interligação de Redes Quando estações de origem e destino encontram-se em redes diferentes,

Leia mais

Professor: Gládston Duarte

Professor: Gládston Duarte Professor: Gládston Duarte INFRAESTRUTURA FÍSICA DE REDES DE COMPUTADORES Computador Instalação e configuração de Sistemas Operacionais Windows e Linux Arquiteturas físicas e lógicas de redes de computadores

Leia mais

02/03/2014. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais

02/03/2014. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais Curso de Preparatório para Concursos Públicos Tecnologia da Informação REDES Conceitos Iniciais; Classificações das Redes; Conteúdo deste módulo Equipamentos usados nas Redes; Modelos de Camadas; Protocolos

Leia mais

Capítulo 5 Métodos de Defesa

Capítulo 5 Métodos de Defesa Capítulo 5 Métodos de Defesa Ricardo Antunes Vieira 29/05/2012 Neste trabalho serão apresentadas técnicas que podem proporcionar uma maior segurança em redes Wi-Fi. O concentrador se trata de um ponto

Leia mais

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall Técnico de Informática Modulo II Segurança de Redes Profª. Vanessa Rodrigues Firewall Introdução Mesmo as pessoas menos familiarizadas com a tecnologia sabem que a internet não é um "território" livre

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais