Boas práticas de segurança para redes domésticas: Instalação e configuração de ativos para torna-las seguras.

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Autores Cleycione Carlos da Silva Prof. MS Edilberto Silva Prof. Msc Luiz Fernando Sirotheau Serique Junior Brasília-DF 2012 Boas práticas de segurança para redes domésticas: Instalação e configuração de ativos para torna-las seguras. RESUMO Não é ficção uma casa onde todas as músicas, filmes, documentos, fotos, agendas, programas e aplicativos estejam armazenados digitalmente em um grande servidor ou nas nuvens, podendo ser acessados por meio de terminais da rede doméstica que poderá combinar a capacidade admirável da fibra ótica com a das redes do tipo Wi-Fi. É razoável pensar que todos os equipamentos e eletrodomésticos se comunicarão e o comando destes dispositivos seja simples, bastando, por exemplo, comandar sua máquina de lavar, geladeira ou torradeira através da tela de um Smartphone ou Tablet, contudo é preciso lembrar que a Internet foi criada para ser rápida e não segura e é neste sentido que a segurança da informação deve atuar buscando solucionar o problema da segurança no tráfego das informações sem tirar o conforto da velocidade. Palavras-Chave: Rede doméstica; Fibra ótica; Rede; Tecnologia ABSTRACT It is not fiction a house where all the music, movies, documents, photos, calendars, programs and applications are stored digitally on a large server or in the cloud and, where such files can be accessed by client servers of a home network that can combine the admirable capacity of fiber optical networks with Wi-Fi. It is reasonable to think that all equipment and home divices will communicate among them and their control will be simple, simply, for example, run your washing machine, refrigerator or toaster through the screen of a Smartphone or Tablet, however we must remember that the Internet was created to be fast and not safe and it is in this sense that information security should act seeking to solve the problem of information traffic safety without taking away the comfort of speed. Keywords: Home network, fiberoptic, Network, Technology.

2 2 1 INTRODUÇÃO A Internet de hoje é provavelmente o maior sistema de engenharia já criado pela humanidade, com milhares de computadores conectados, links de comunicação e comutadores: centenas de milhares de usuários que se conectam esporadicamente por meio de telefones celulares, PDAs e dispositivos como sensores, webcams, consoles para jogos, quadros de imagens e até mesmo máquinas de lavar sendo conectadas à Internet. (Kurose, 2010) Diante desta afirmativa, não se pode deixar de perceber que a Internet é parte integrante da vida das pessoas. Elas estão em contado com a rede mundial em praticamente todos os momentos: nas transações bancárias, nos estudos, no laser, na comunicação, no transporte, na saúde e à medida que a tecnologia avança é maior o número de equipamentos e ferramentas conectadas. Partindo do princípio que até 2015 cerca de 80% dos lares no Brasil haverá pelo menos um computador conectado à rede mundial e ao menos um telefone com tecnologia de acesso à Internet (CGI.br, 2012), é necessário buscar conhecimentos que possam ser usados, na prática, por pessoas comuns, a fim de garantir sua segurança e ainda proporcionar comodidade no uso dos mais diversos aparelhos que acessam a Internet ou integram suas redes domésticas. O objetivo deste artigo, portanto, é propor um modelo de configuração de rede que possa ser implantada e administrada facilmente por qualquer usuário, além de pesquisar a melhor opção de configuração dos equipamentos de acesso a Internet de modo que ofereça melhor custo benefício e a maior segurança. Isto se dará através do estudo dos manuais e equipamentos comumente usados em redes domésticas a fim de tirar o melhor proveito dos equipamentos, iniciando-se por um levantamento bibliográfico, seguido de estudo de caso onde serão estudadas as redes domésticas de modo a identificar as necessidades de configuração e os riscos que elas correm por falta de segurança ou falha na configuração. Para este projeto será construída uma rede composta por equipamentos comumente encontrados em residências como noteboks, smartphone e consoles de jogos com acesso à Internet. Após a instalação e estudo de caso, serão testadas as

3 3 vulnerabilidades desta estrutura a fim de identificar os pontos fracos, os quais deverão ser corrigidos para um segundo estudo de caso. A rede deste estudo será submetida a testes de vulnerabilidades usando-se ferramentas tal como o Nessus 1, Nmap 2 (Zenmap) e o Metasploit 3. Estes instrumentos são usados por profissionais da área de TI para inspecionar e verificar vulnerabilidades na rede e equipamentos que nela se encontram. 2 REDES DOMÉSTICAS No geral as redes domésticas são construídas a partir de um roteador 4 do qual recebe o sinal que é distribuído entre os equipamentos a ele conectado. O uso da Internet de banda larga quase duplicou em Segundo a reportagem veiculada pela revista Proxxima de setembro de 2012, em junho deste mesmo ano o número de domicílios usando Internet de banda larga chegou a 16,8 milhões, 91% a mais que os 8,8 milhões de junho de (IBOPE NIELSEN ONLINE, 2012) Com a facilidade do acesso à Internet, vieram os dispositivos de navegação e ingresso na rede mundial. Dispositivos estes que vão de celulares às casas inteligentes, conectadas à Internet através de equipamentos domésticos inovadores como televisores, refrigeradores e máquinas de lavar. O conforto no acesso à rede mundial tem um inconveniente, o risco que se corre por roubo de dados e informações pessoais. Este problema deve ser tratado com maior seriedade no momento da configuração dos equipamentos que comporão a estrutura da rede. 3 ADMINISTRANDO AS REDES As redes de computadores têm se tornado uma ferramenta fundamental às vidas das pessoas, principalmente quando somos motivados a acompanhar na 1 Nessus i Nmap (zenmap) V Metasploit Version Roteador - é um dispositivo de rede que permite interligar redes distintas.

4 4 mesma velocidade da tecnologia a evolução e o modelo de vida imposto pela era da informação. Não se pode descartar a idéia de trabalhar em casa, acessando o seu perfil de trabalho na empresa, via Internet. 3.1 Definindo gerenciamento de rede O que é gerenciamento de redes? Em Kurose (2010), o autor faz algumas considerações, trazendo para o mundo real e de forma análoga, os conceitos de gerenciamento de redes. Exemplificando, as usinas de geração de energia elétrica têm uma sala de controle, onde mostradores, medidores e lâmpadas monitoram o estado (temperatura, pressão, vazão) de válvula, tubulações, vasos e outros componentes remotos da instalação industrial. Esses dispositivos permitem que o operador monitore os muitos componentes da planta e possam alertá-lo (o famoso pisca-pisca vermelho de alerta) caso haja algum problema iminente. O operador responsável executa certas ações para controlar esses componentes. Neste exemplo, o administrador monitora equipamentos remotos e analisa os dados para garantir que os equipamentos estejam funcionando e operando dentro dos limites especificados, controla reativamente o sistema fazendo ajustes de acordo com as modificações ocorridas no sistema ou em seu ambiente e gerencia proativamente o sistema, detectando tendências e comportamentos anômalos que permitem executar uma ação antes que surjam problemas sérios. Nesse mesmo sentido, mesmo sendo uma rede doméstica, o administrador de rede deve monitorar, gerenciar e controlar ativamente o sistema. 3.2 Administrando falhas Mantendo o objetivo de ter uma rede sempre segura, estável e funcionando, o usuário/administrador da rede deve ter os cuidados para que o sistema funcione sem anomalias. Ocorrendo falhas, é necessário que o administrador tenha conhecimentos suficientes para agir com eficácia, identificar exatamente onde está o problema e solucioná-lo para que a rede continue em operação. É fundamental então definir aqui o que é falha para o gerenciamento da rede. Neste ponto deve-se entender que a falha não consiste em erro. De acordo com

5 5 Stallings (1999), uma falha é uma condição anormal que exige uma ação de gerenciamento, enquanto que um erro é um evento único. Em geral, uma falha é ocasionada pela incapacidade de operar normalmente ou por excessiva quantidade de erros. 3.3 Manutenção e Desempenho Os equipamentos ligados à rede de computadores devem interagir entre si e compartilhar dados e recursos. No caso das redes de comunicação, em especial a rede doméstica, onde se encontram equipamentos como televisores, telefones, equipamentos Wi-Fi, consoles de jogos entre outros, a rede precisa oferecer um bom desempenho para que a comunicação flua sem problemas. O gerenciamento de desempenho abrange duas grandes categorias funcionais: monitoramento e controle. Monitoramento é a função de observar as atividades da rede e a função de controle possibilita que se façam ajustes para melhorar o desempenho da rede. (Stallings, 1999) Questões envolvendo desempenho da rede, capacidade, tráfego, vazão e possíveis gargalos são objetos de avaliação por parte de quem gerencia uma rede. Mensurar os recursos e associá-los métricas adequadas ajudará nos resultados e estabelecerá bons níveis de desempenho para a rede. 3.4 Segurança A meta do gerenciamento de segurança é controlar o acesso aos recursos da rede de acordo com alguma política definida (Kurose, 2010). A segurança de uma rede tem o foco na proteção das informações e controle de acessos. Neste mesmo sentido tem-se o firewall 5, dispositivo que na rede de computadores tem como objetivo aplicar políticas de segurança em um determinado ponto. Os firewalls de hardware são dispositivos com interfaces de rede, quais 5 Firewall, uma barreira de proteção que impede comunicações não autorizadas entre as seções de uma rede de computadores

6 6 sejam: roteadores ou proxy 6, enquanto que os firewalls de softwares atuam junto aos sistemas operacionais, incluindo os filtros de pacotes. O firewall inspecionará todo e qualquer pacote que entra ou sai prevenindo a rede de vírus, worms e outras pestes digitais que podem burlar a segurança, destruir dados valiosos e consumir tempo precioso na tentativa de eliminá-los. (Tanenbaum, 2011) 4 VULNERABILIDADES E AMEAÇAS EM REDES WIRELESS Embora a Internet ofereça todo o conforto de disponibilizar dentro da casa das pessoas um universo de dados e informações, nela pode estar contido um grande número de riscos, que são basicamente a perda de dados, da privacidade, roubo de informações e de bens como, por exemplo, roubo nas contas bancárias. Todo esse risco pode ser minimizado com os devidos cuidados na hora da implementação da rede, por exemplo: configurar corretamente o firewall, atualizar os sistemas operacionais, instalar antivírus. Faz-se necessário ainda, uma boa configuração dos equipamentos como switches, roteadores, computadores. Dada a frequência e a variedade das ameaças existentes, bem como o perigo de novos, mais destrutivos e futuros ataques, a segurança de rede se tornou um assunto de elevado interesse, principalmente quando se fala do modelo de vida que se leva atualmente, qual seja, conectados diuturnamente. Visto que o usuário comum não é nenhum especialista em rede de computadores e em segurança da informação, neste trabalho serão analisados alguns dos principais problemas relacionados à segurança. Isto levará a questões do tipo: O que pode dar errado na rede de computadores? Como a rede de computador pode ser frágil? A que tipo de ameaça está sujeito? Conectam-se aparelhos à Internet porque se quer receber/enviar dados de/para a Internet. Isso inclui todos os tipos de recursos vantajosos, como páginas da Web, mensagens de , MP3, chamadas telefônicas, vídeos em tempo real, 6 Proxy, serviço que consiste em manter, em uma área de acesso rápido, informações já acessadas pelo usuário.

7 7 resultados de mecanismo de busca etc. Porém, infelizmente, junto a esses recursos vantajosos vêm os maliciosos conhecidos comumente como malware que também podem entrar e infectar nossos aparelhos. (Kurose, 2010) Uma estrutura de rede pode não estar certa quando sofre ataques que afetam sua infraestrutura. Um grande número de ameaças a esse tipo de segurança pode ser classificado como ataques de recusa de serviço (DoS), tornando a rede inutilizável pelo proprietário/usuário. É muito comum esse tipo de ataque na Internet, milhares deles acorrem todo ano. Os ataques DoS podem ser divididos basicamente em três tipos: Ataque de vulnerabilidade, de inundação de largura de banda e inundação na conexão. Ataque de vulnerabilidade promove o envio de mensagens perfeitas a uma aplicação vulnerável ou a um sistema operacional. Se a seqüência correta de pacotes é enviada a uma aplicação vulnerável ou a um sistema operacional, o serviço pode parar. Inundação da largura de banda compõe-se por envio de um grande número de pacotes à rede travando o enlace de acesso e impedindo os pacotes verdadeiros de alcançar seu destino. Inundação na conexão é o ato de o atacante estabelece um número muito grande de conexões TCP, bloqueando o sistema e provocando a parada das conexões legítimas. A fragilidade da rede pode ser percebida pelos atacantes através da analise de pacotes. Muitos usuários acessam a rede mundial através de aparelhos sem fio, os de tecnologia Wi-Fi e aparelhos portáteis como os Smartphones. Estas conexões são muito vulneráveis de segurança, bastando o vilão posicionar um receptor passivo nas proximidades do transmissor sem fio para que haja possibilidade de captura de pacotes que contenham todo tipo de informação, inclusive as confidenciais como senhas, CPF, mensagens pessoais e segredos profissionais. 4.1 Principais ameaças Um usuário da rede mundial está sujeito a toda sorte de ameaças digitais, podendo inclusive ter seus dados pessoais usados em fraudes financeiras ou simplesmente ter suas mensagens alteradas ou excluídas.

8 8 Entre as várias ameaças digitais, de acordo com a Cartilha de Segurança da Internet, disponível no site da Cert.br, tem-se: Furto de dados: Consiste na subtração de informações pessoais e outros dados que podem ser obtidos tanto pela interceptação de tráfego como pela exploração de possíveis vulnerabilidades existentes em seu computador. Uso indevido de recursos: um atacante pode ganhar acesso a um computador conectado à rede e utilizá-lo para a prática de atividades maliciosas, como obter arquivos, disseminar spam, propagar códigos maliciosos, desferir ataques e esconder a real identidade do atacante. Varredura: um atacante pode fazer varreduras na rede, a fim de descobrir outros computadores e, então, tentar executar ações maliciosas, como ganhar acesso e explorar vulnerabilidades. Interceptação de tráfego: um atacante, que venha a ter acesso à rede, pode tentar interceptar o tráfego e, então, coletar dados que estejam sendo transmitidos sem o uso de criptografia. Exploração de vulnerabilidades: por meio da exploração de vulnerabilidades, um computador pode ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevidamente coletados e ser usado para a propagação de códigos maliciosos. Além disto, equipamentos de rede (como modems e roteadores) vulneráveis também podem ser invadidos, terem as configurações alteradas e fazerem com que as conexões dos usuários sejam redirecionadas para sites fraudulentos. Ataque de negação de serviço: um atacante pode usar a rede para enviar grande volume de mensagens para um computador, até torná-lo inoperante ou incapaz de se comunicar. Ataque de força bruta: computadores conectados à rede e que usem senhas como método de autenticação, estão expostos a ataques de força bruta. Muitos computadores, infelizmente, utilizam, por padrão, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes.

9 9 Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar. 4.2 Principais vulnerabilidades Sabe-se que uma rede sem fio possui limitações. Para que se garanta a desejada segurança, é necessário conhecer as vulnerabilidades que podem ser exploradas por invasores ou pessoas mal intencionadas. Dentre as principais vulnerabilidades, destacam-se o Man-in-the-midle (Homem do meio), o Endereçamento MAC 7 (Média Access Control) e a Quebra das chaves WEP 8 e WPA 9. A forma de ataque conhecida por homem do meio se dá pelo posicionamento de um concentrador no meio de uma conexão de rede sem fio. Normalmente clonase um concentrador já existente que receberá as informações transmitidas na rede. Neste interstício o atacante é capaz de ler, inserir e modificar mensagens que trafegam na rede sem que os interlocutores emissor e receptor - tenham conhecimento das alterações feitas pelo invasor. O endereçamento MAC é um tipo de ataque que captura o endereço MAC de um elemento da rede e utiliza-o passando-se por um usuário legítimo da rede. Por fim, há várias formas de se quebrar as chaves WEP e WPA, inclusive variando por grau de dificuldade e eficiência. Segue algumas formas: Airsnort: Este tipo de ferramenta é bastante eficaz na quebra de chaves simples, em rede de muito tráfego, porém pouco eficiente devido sua velocidade de quebra. Wepcrack: trabalha juntamente com Airsnort, o qual explora as vulnerabilidades do protocolo WEP. 7 MAC Address - endereço único, não há duas portas com a mesma numeração, usado para controle de acesso em redes de computadores. 8 WEP - "Wired-Equivalent Privacy", é um padrão de encriptação de dados para redes wireless. 9 WPA Wi-Fi Protected Access, é um protocolo de comunicação via rádio.

10 10 Weplab: Esta ferramenta utiliza três métodos de ataque. A primeira é baseada no ataque de dicionários, porém ainda não implementada, apenas prevista. A segunda é por meio de força bruta, e a terceira que é o principal método utilizado por esta ferramenta, a de quebra de chaves, onde é feita a análise de falhas na geração de chaves de iniciação. Sua principal característica é a velocidade na quebra da chave WEP, fazendo com que esta ferramenta fosse uma das mais indicadas para este fim até meados de 2004, dando lugar ao próximo método que veremos a seguir, o Aircrack (Rufino, 2005). Aircrack: considerado uma das ferramentas mais eficientes para quebra de chaves WEP devido sua alta eficiência e seu algoritmo que está sendo incorporado a outros pacotes e ferramentas, com o objetivo de aperfeiçoá-los e melhorá-los (Rufino, 2005). 5 ESTUDOS DE CASO DE REDE DOMÉSTICA Esta pesquisa consiste no estudo de caso exploratório descritivo abordando os conceitos e requisitos técnicos necessários para a implantação de uma rede doméstica. Especificamente para este trabalho, tratar-se-á a rede em diferentes níveis de segurança. No primeiro estudo, será avaliada uma rede configurada pelo modo mais simples, sem nenhum critério de segurança. Uma fragilidade comum nesse tipo de instalação é que o usuário não cria para a sua rede sem fios critérios como senha de acesso, deixando-a absolutamente aberta a acessos indesejáveis. Para o segundo estudo, foi formado um juízo crítico em torno da rede, estabelecendo a necessidade de maior segurança. Neste sentido, foram implementadas nas máquinas antivírus atualizados, anti spams e configuração dos firewalls, bem como configurações nos equipamentos de rede. Após instalação e configuração de ferramentas de segurança, a rede estará pronta para uso e com os devidos requisitos de segurança necessários, bem como controle de acesso na rede Wi-Fi, antivírus atualizado e configurado corretamente, anti spams, sistemas operacionais atualizados.

11 11 Para os dois estudos caso será usada a mesma topologia de rede, com os mesmos equipamentos e softwares de escaneamento e monitoração, quais sejam: Nmap versão Nessus versão e Metasploit versão Estudo I Instalação simples de rede doméstica sem implementação de segurança A estrutura da rede limita-se a uma instalação básica, sem implementação de segurança, atentando-se apenas para o acesso à Internet Ambiente de Implementação A rede será implementada em uma residência típica composta por cinco cômodos: sala, cozinha, escritório e dois quartos. Nesta residência, têm-se cinco usuários, três adultos e duas crianças, usuários dos seguintes equipamentos: dois notebook s, um celular com acesso Wi-Fi, um console de jogos do tipo PlayStation e um computador de mesa Topologia da rede Para este estudo, foi configurada uma rede no modelo estrela com os seguintes equipamentos: Figura 1: Topologia da rede doméstica

12 12 Um modem ADSL Ethernet Modelo TD-8816V2; Um roteador Gigabit Wireless Thomson modelo DWG850 4G; Um Smartphone com acesso Wi-Fi; Dois Notebook s; Um computador de mesa; Um console de jogos PlayStation - com acesso Wi-Fi Modem ADSL Ethernet O modem ADSL modelo TD-8816V2 (Figura 2) é um produto projetado para fornecer uma conexão de Internet simples e de baixo custo para uma rede Ethernet privada, basicamente conecta-se a uma LAN Ethernet ou computadores através de portas Ethernet padrão. A conexão ADSL é feita por meio de linha telefônica comum bastando o uso do conector padrão. Várias estações de trabalho podem ser ligados em rede e conectados à Internet usando único endereço IP global. Os aprimoramentos de segurança avançadas, IP / MAC Filter, filtro de aplicativo e URL Filter pode ajudar a proteger a rede contra intrusões potencialmente devastadoras de agentes maliciosos. O Modem escolhido é de fácil instalação e gerenciamento. As configuraçãoes são feitas por meio de um utilitário baseado na Web que pode ser localizado através do acesso local usando qualquer navegador. Figura 2: Modem TP-Link - Modelo TD-8816V2 Fonte: Fornecedor TP-Link

13 Roteador Wireless O roteador wireless é um Thomson modelo DWG850 4G (Figura 3), adquirido juntamente com o link de Internet o qual oferece tecnologia de networking doméstico possibilitando experiências com aplicações como streaming de vídeo HD, chamadas telefônicas pela Internet, compartilhamento de arquivos grandes e desfrute de jogos on-line. A compatibilidade com o padrão IEE n favorece, ainda, maior velocidade. Figura 3: Roteador Thonson modelo DWG850 4G Fonte: Fabricante Notebook O Notebook é um modelo Z896 da marca Positivo Mobile de uso doméstico com processador Intel Pentium Dual Core T2310, 2 GB de memória, acesso à Internet Wireless, intalação básica do Windows 7 Home Basic, sem as devidas atualizações e configurações de segurança, além do quê, não há instalação de antivírus. O uso do equipamento é basicamente por crianças, que acessam jogos, redes sociais e Internet em geral.

14 14 Figura 4: Notebook Positivo Mobile Z896 Fonte: Smartphone O equipamento Smartphone é um BlackBerry Curve 8520 com acesso à Internet via Wi-Fi e Wap por meio da operadora. Os acessos são basicamente às contas de e redes sociais, contudo a ferramenta Enterprise 10 do aparelho faz periódicamente o download dos s para a caixa de mensagens do aparelho que é sincronizado com o computador todas as vezes que entra na rede Wi-Fi de sua residência. Estas mensagens são salvas no computador automaticamente. Figura 5: Smartphone BlackBerry Curve 8520 Fonte: BlackBerry 10 BlackBerry Enterprise - sincroniza remotamente o Microsoft Exchange com os smartphones BlackBerry

15 Console para jogos PlayStation Portátil com acesso Wi-Fi O uso console para jogos, um PlayStatiom modelo PSP-3000, é basicamente pelas crianças, que acessam jogos, redes sociais e Internet em geral. Não salva arquivos diretamente no console. Figura 6: PlayStation Portátil Fonte:Sony Computador de mesa Computador SIM Positivo L3600 equipado com processador Intel Pentium Dual Core, 6GB de memória. Instalado como sistema operacional tem-se um Windows 7 professional com todas as atualizações, contudo, não foram verificadas as configurações de segurança. Neste equipamento, não está instalado um antivírus e o uso é basicamente pelos adultos que o usam para navegar na Internet, acessar contas bancárias, pagar títulos, compras on-line além de visitar as mídias sociais. Figura 7: Computador SIM Positivo L3600 Fonte:

16 Análise de risco da rede Antes de analisar uma rede, do ponto de vista de uma atacante, primeiro é necessário encontrar uma potencial vítima, neste caso uma rede frágil ou aberta. Para isso, usamos neste trabalho o Vistumbler V10.3 que funciona como um snifer 11 de redes Wi-Fi, localizando e fornecendo informações sobre as redes disponíveis. No caso deste trabalho, foi criada uma rede especifica para as análises. A análise de risco da rede em questão se deu por meio das ferramentas como o Nmap que tem o objetivo de varrer as portas e serviços da rede obtendo como resultado endereços físicos, versões de sistemas operacionais, tipos de equipamentos, DNS reverso entre outros. Outra ferramenta usada foi o Nessus que é um programa de verificação de falhas e/ou vulnerabilidades de segurança. O Nessus faz um port scan 12 no computador alvo na busca de falhas de segurança. Pra finalizar, tentou-se um ataque às vulnerabilidades encontradas para comprovar o risco. No ataque usou-se a ferramenta Metasploit que, depois de encontradas as vulnerabilidades e através de um banco de dados de scripts 13 de ataque, atacará e explorará as falhas encontradas com o objetivo de retirar informações e comprovar a invasão Localizando redes abertas Com a ferramenta Vistumbler V é possível confirmar o despreparo dos usuários de Internet. Dentre as 27 redes identificadas pelo programa, 18,5% delas estão totalmente deprotegidas, podendo ser invadida a qualquer momento. 11 Sniffers de rede - são ferramentas que interceptam e analisam o trafego de uma rede 12 Port scan Varrer as portas de comunicação dos equipamentos em busca de informações 13 Script - conjunto de instruções para uma determinada ação que o programa ou aplicativo realizará. 14 Vistumbler v

17 17 Figura 8: Mapa de redes WiFi Identificando os usuários da rede Uma vez dentro da rede, é possível identificar os usuários da rede, inclusive, conhecer os Sistemas Operacionais e suas versões, IP s, Mac Address, portas abertas, topologia da rede e outras informações. Nas figuras de 9 a 12 pode ser visto como o programa Zenmap localiza e identifica cada elemento da rede. Figura 9: Mapa de scans - Zenmap

18 18 Figura 10: Topologia da rede - Zenmap Figura 11: Identificação do Roteador - Zenmap

19 19 Figura 12: Identificação de um dos hosts - Zenmap A análise feita a partir destas telas permitirá ao interessado prosseguir com o ataque, partindo então para a verificação de vulnerabilidades Vulnerabilidades Com o Nessus, serão escaneados os protocolos de Internet encontrados. Nesta etapa são conhecidas as fragilidades dos equipamentos que estão na rede. Nas figuras 13 e 14 têm-se então as vulnerabilidades e a identificação do host alvo, aquele que estiver mais frágil. Apesar de a rede ser pequena, foram identificadas 142 vulnerabilidades listadas na figura 13 classificadas como medium e info. De acordo com o programa Nessus as vulnerabilidades são classificadas como: Crítico Alto Médio Baixo Informações Total Partindo destas descobertas, com o Metasploit, serão atacadas as vulnerabilidades no intuito de capturar informações dos usuários da rede, comprovando a fragilidade da rede e de seus componentes.

20 20 Figura 13: Tabela de vulnerabilidades - Nessus Figura 14: Tabela de vulnerabilidades x hosts - Nessus

21 Explorando as vulnerabilidades O framework 15 Metasploit é um conjunto de exploits 16, payloads 17 e ferramentas avançadas usado por profissionais de segurança de TI para investigar e testar vulnerabilidades em suas redes, testando as plataformas, sistemas operacionais e servidores. No caso da exploração feita neste trabalho, constatou-se que, apesar de muitas vulnerabilidades, elas não foram suficientes para uma invasão bem sucedida com a ferramenta Metasploit, contudo, são informações que permitem um atacante, por meio de outras ferramentas e técnicas, invadir ou até usá-las para a invasão de outros sistemas, um assunto que poderá ser abordado em outro artigo. Nas telas seguintes, figuras de 15 a 18, pode-se ver o resultado da exploração. Figura 15: Resumo gráfico da análise de vulnerabilidades Metasploit 15 Framework - conjunto de conceitos usado para resolver um problema de um domínio específico. 16 Exploits - sequência de comandos que se aproveita das vulnerabilidades. 17 Payloads - parte útil dos dados transmitidos, acompanhada de cabeçalhos ou metadados.

22 22 Figura 16: Topologia da rede Metasploit Figura 17: Lista de vulnerabilidades Metasploit

23 23 Figura 18: Tabela de ações e resultados Metasploit Conseqüência Conforme visto nas figuras 8, 13 e 14, a rede doméstica é muito vulnerável, principalmente se estiver aberta. Estas análises revelam a necessidade de aprimoramento e maior atenção na implantação de uma rede. A fragilidade delas pode implicar na falta de segurança da Internet como um todo, podendo ter os equipamentos invadidos e usados como zumbis para atacar outras redes. Sugere-se, para a implantação das redes domésticas, a correta configuração dos equipamentos como roteadores, a instalação de um antivírus atualizado e a correta atualização dos Sistemas Operacionais. No caso do roteador é preciso configurar senha de acesso à rede, firewall e senha de acesso às configurações do aparelho. O antivírus escolhido deve ser instalado, atualizado versão e banco de dados de vírus e feito uma varredura completa no sistema. Quanto ao Sistema Operacional, este deve ser atualizado para que sejam corrigidas todas as falhas de segurança já detectadas pelo fabricante.

24 Estudo II Análise da rede depois de implementadas as configurações e softwares de segurança. Para este estudo, serão consideradas as recomendações do primeiro estudo de caso, quais sejam: a escolha e análise do antivírus; análise e configuração do roteador; atualização do Sistema Operacional e configuração do firewall. A atualização dos sistemas operacionais consiste em fazer o download dos arquivos de correção e atualização fornecidas pelos fabricantes dos softwares. No caso dos equipamentos instalados na rede pesquisada, por meio da ferramenta Windows UpDate, baixou-se e instalou-se todas as atualizações disponíveis executando-as com sucesso. No roteador, foi habilitado o firewall no modo standard que, neste modo, bloqueia todo tipo de tráfego de dados de entrada liberando os de saída. O firewall dos sistemas operacionais foi habilitado no modo rede particular, um modo pré-configurado do Windows. Este firewall é um software que verifica informações provenientes da Internet ou da rede, filtrando-as antes que cheguem ao seu computador, impedindo que hackers ou softwares mal-intencionados obtenham acesso aos equipamentos da rede. Com esta configuração o firewall também pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores. Depois de corrigidas as falhas encontradas no Estudo de Caso I instalação e configuração dos softwares de segurança e reconfiguração dos equipamentos da rede considerando que a topologia da rede continua a mesma e a importância da segurança na rede mundial, será realizado novo teste de vulnerabilidades, usandose para isso os mesmo critérios de avaliação do primeiro caso Antivírus Uma importante empresa de consultoria de TI, a AV-Corporatives 18, publica periodicamente testes de softwares como antivírus por exemplo. O resultado da última pesquisa publicada na Internet em outubro e novembro de 2012, revela uma lista de antivírus com melhores performances disponíveis no mercado. 18 AV-Corporatives -

25 25 Na figura 19 (Visão geral de melhor performance), temos uma visão geral do que oferecem os antivírus disponíveis no mercado. Apesar de o Avast 19 ter o melhor desempenho, quem tem a maior eficiência em remoção de malwares é o antivírus do fabricante Kapersky 20. Então, para o laboratório da pesquisa, escolheu-se a versão 2013 do antivírus Kapersky. Figura 19: Visão geral de melhor desempenho de antivírus Fonte: AV-Conparatives.org Configuração do roteador O roteador, oferecido pela empresa que fornece o link de Internet, é um Thomson DWG850-4G. Este aparelho permite configurações de segurança tal como senha de acesso às configurações, configuração de Firewall, configuração de logon na rede wireless entre outras. Para atender os critérios de segurança mencionados no Estudo de Caso I, foram configurados os acessos ao roteador e logon de rede wirelles. Para acesso à 19 Avast Internet Security Kaspersky Anti-Virus

26 26 rede de Internet foi estabelecido mecanismos de proteção do tipo WPA2-PSK e dentro das configurações, uma vez que a rede tem equipamentos conhecidos, foi estabelecido um controle de acesso por MAC Address, evitando assim o acesso de indesejáveis na rede. A configuração de controle de acesso por MAC Address é feito entrando nas configurações do roteador em configurações wireless e na aba controle de conexões habilitar o controle dos MAC s adicionando os endereços físicos na tabela. Para finalizar e deixar a rede mais segura deve-se esconder o SSID Broadcast 21, bastando desabilitá-lo nas configurações do roteador Atualização dos Sistemas Operacionais e Firewall Os equipamentos foram todos submetidos à atualização do sistema de forma que as falhas conhecidas dos Sistemas Operacionais, agora, estão todas corrigidas. As atualizações, que são downloads de arquivos com correções ou aperfeiçoamento do sistema operacional, devem ser baixados do site do fabricante que os disponibilizam assim que são conhecidas as falhas ou vulnerabilidades. Quanto aos aparelhos do tipo Smarphone, cujo acesso à Internet se dá tanto por Wap 22 quando por Wi-Fi, estes foram configurados para não sincronizar a caixa de pois esta foi a única vulnerabilidade encontrada, haja vista a possibilidade de instalar um spam ou malware baixado nas mensagens. O firewall foi ativado e configurado em todas as máquinas, inclusive no roteador de forma a controlar o tráfego na rede, o que permite fazer análise de logs revelando informações do tráfego da rede e do comportamento do usuários no trato da navegação na rede mundial. Nos sistemas operacionais, antivírus e roteadores pode-se configurar o firewall de modo a criar uma barreira que impeça a entrada de malwares, spams, 21 SSID Broadcast - Service Set Identifier (Identificação da rede) 22 Wap - Wireless Application Protocol - padrão internacional para aplicações que utilizam comunicações de dados digitais sem fio

27 27 worms ou algum tipo de código malicioso que possa danificar a rede ou sistema operacional. No tocante ao estudo, foram ativados os firewalls do sistema operacional, configurando no modo rede doméstica que é uma configuração básica do sistema. Já no roteador, habilitamos a ferramenta, criando uma tabela de MacAdress que permitirá o acesso na rede somente àqueles cujo endereço estiver registrado na tabela, impedindo que outros equipamentos acessem sem a devida autorização do administrador da rede Análise de risco da rede Depois das configurações necessárias à segurança, foi testado o acesso à rede, vulnerabilidades, e riscos. Nos testes foram feitas investidas no sentido de furar o bloqueio de senhas de acesso, envio de spams e arquivos maliciosos. O intuito era contaminar a rede com um vírus e subtrair dela informações, contudo, todos os arquivos maliciosos foram detectados pelo antivírus que atuou fortemente na proteção da rede Acesso à rede Da mesma forma que ocorreu no estudo I, usando a ferramenta Vistumbler V10.3 buscou-se redes abertas que pudessem ser acessadas. No caso do estudo, a rede, anteriormente aberta, agora encontra-se devidamente configurada e com os devidos critérios de segurança aplicados, identificando-a como: TesteSegurança. Na Figura 20 vê-se que a rede agora tem nome (SSID) e proteção do tipo WPA2-SPK criptografada com o padrão AES (Advancend Encryption Standard) o que dificulta em muito a ação de invasão.

28 28 Figura 20: Mapa de redes WiFi O nome da rede ou o SSID (Service Set Identifier) é um conjunto único de caracteres que identifica a rede sem fio. O usuário ou cliente só poderá acessar a rede se puder oferecer o SSID correto. A proteção de acesso do tipo WPA (Wi-Fi Protected Access) projetada para operar com produtos do tipo Wi-Fi 23 é um protocolo de segurança para redes sem fio que visa a criptografia para transmissão de dados e autenticação do usuário. Neste caso, foi utilizada uma do tipo WPA2-SPK, uma versão mais nova e mais segura que trabalha com senha de 128 bits e encriptação AES (Advanced Encryption Standard) Vulnerabilidade Depois de atualizado o sistema, praticamente todas as vulnerabilidades com maior nível de criticidade foram eliminadas, demonstrando que o sistema está mais robusto e seguro. As vulnerabilidades ou riscos mais críticos demonstrados nas figuras 13 e 14 poderiam ser explorada por meio de mecanismos de renegociação do SSL/TLS, o que poderia dar ao atacante acesso remoto não autenticado permitindo-lhe acesso ilegítimo aos dados. O ataque ocorreria com uma técnica chamada de Man in the 23 Wi-Fi - dispositivos de rede local sem fios baseados no padrão IEEE

29 29 middle (homem do meio) que na prática consiste em interseptar o trafego e verificar os dados trocados através da rede. A solução para essa vulnerabilidade estava na atualização dos sistema operacionais, o que ocorreu com sucesso. Pode-se verificar nas figuras 21 e 22 que a rede não apresentou nenhum risco crítico. É evidente que para manter-se seguro é necessário uma manutenção periódica, atualizando o sistema e o antivírus. Figura 21: Tabela de vulnerabilidades Nessus Figura 22: Tabela de vulnerabilidades x hosts - Nessus