Segurança de Redes 5º Semestre

Tamanho: px

Começar a partir da página:

Download "Segurança de Redes 5º Semestre"

João Henrique Casqueira Bacelar
7 Há anos
Visualizações:

1 Segurança de Redes 5º Semestre Evasão de Firewall Prof. Nataniel Vieira SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS

2 Objetivos Conhecer os mecanismos de evasão de firewall. Conhecer técnicas de evasão de IDS/IPS. 2

3 Evasão de Firewall As técnicas de evasão de firewall e IDS são utilizadas para evitar que qualquer tipo de aplicação, que contenha filtros e controles de acesso, possam detectar as ações de um atacante. 3

4 Técnicas Evasão de FW com Nmap Parâmetros específicos do nmap para burlar proteções. nmap -h => lista todas as opções do nmap 4

5 Técnicas nmap -h => Procurar por: FIREWALL/IDS EVASION AND SPOOFING: 5

6 Técnica de fragmentação nmap -f (fragmentação de pacotes) Fragmenta pacotes, incluindo pacotes IP, dividindo os cabeçalhos TCP em vários pacotes, desta forma, dificulta a detecção por filtros de pacotes, IDS e etc. 6

7 Técnicas nmap vs Snort Snort trabalha com regras muito parecidas com as de um antivírus, estas regras são baseadas em assinaturas, estas são confrontadas com os pacotes de dados que trafegam na rede. Quando o snort identifica um pacote que possui características da assinatura é gerado um alerta. Neste momento entra o "-f" quebrando os pacotes fazendo com que a assinatura nunca bata com os pacotes. 7

8 Técnicas de iscas -D <decoy1>,<decoy2>,me[,...] Realiza uma varredura utilizando iscas. Faz parecer que vários hosts da rede, juntamente com seu IP, estão varrendo o alvo. Desse modo, o IDS pode reportar 5-10 varreduras em um único IP, mas não saberá definir quais são iscas inocentes e qual IP está realmente realizando a varredura. 8

9 Técnica de IP Spoofing -S <IP-Address> Realiza um IP spoofing, fazendo com que um IDS reporte uma varredura sendo realizada a partir de um outro IP, que não o seu, mas que é definido por você. 9

10 Técnica de Port Spoofing source-port <portnumber> Realiza um port spoofing, permitindo que seja definido no pacote de qual porta ele teoricamente foi enviado. Essa técnica explora as portas abertas no alvo para realizar varreduras, que o firewall permitirá por conta de suas regras. As portas mais utilizadas são HTTP (80), DNS (53) e FTP (21). 10

11 Técnica de MAC Spoofing spoof-mac <MAC address> Faz um MAC spoofing, atribuindo um endereço MAC, definido pelo atacante, para todos os frames ethernet enviados. 11

12 Técnica Randômica randomize-hosts Permite uma varredura aleatória em hosts alvo sem seguir uma sequência lógica de Ips. Isso pode tornar a varredura menos óbvia para sistemas de monitoramento de rede. 12

13 Exemplo 1 nmap -ss -D , , , meuip IPalvo OBS: Trabalhar com um range de IPs, usando IPs ativos na rede alvo (IPs válidos). Usar ips válidos (ISCAS) da rede e o último IP (ISCA) tem que ser o seu IP (espaço) o ALVO 13

14 Exemplo 2 nmap -st -D , , , ,meuIP Ipalvo nmap -ss , , randomize-hosts OBS: usar espaços 14

15 Exemplo 3 # spoofing de IP nmap -ss -e eth0 -S e (qual interface vai receber novo IP) OBS: analisar os pacotes, observar o mac de origem e identificar a máquina real de onde saiu o ataque. 15

16 Exemplo 4 # spoofing de Mac address nmap -ss -e eth2 -S PN --spoof-mac 00:55:55:55:55:55 -PN (ping null) --spoof-mac (engana o mac) -e (interface do seu host) 16

17 Exemplo 5 nmap -ss -e eth0 -S qualquer alvo -PN --spoof-mac 00:55:55:55:55:55 --source-port 53 OBS: é possível colocar um mac address real da rede alvo, induzindo a auditoria procurar um falso atacante. 17

18 Prática 1.1 Preparar o cenário de testes Disponibilizar firewall no seu router Tratar endereçamento das VMs Ativar serviços diversos na LAN Criar rota estática entre as redes Realizar os testes baseados nos exemplos Capturar pacotes no wireshark Usar cenário de testes com firewall off Usar cenário de testes com firewall on Comparar capturar com os logs de FW 18

19 Cenário de testes 19

20 Referências NMAP página oficial NMAP técnicas Ignorando proteções 4 Linux curso oficial Pen Test: Técnicas de Intrusão em Redes Corporativas 20

21 Contato nataniel.vieira 21

Documentos relacionados

Configurações iniciais

Configurações iniciais Linux1 auto eth0 iface eth0 inet static address 192.0.2.100 netmask 255.255.255.0 gateway 192.0.2.1 iface eth0 inet6 static address 2001:db8:1::100/64 netmask 64 gateway 2001:db8:1::1