Covert channels: o que são, o que fazem e como se prevenir contra eles

Documentos relacionados
Covert Channels: o que são, o que fazem e como se prevenir contra eles. Ivo de Carvalho Peixinho Perito Criminal Federal

Faça como Bin Laden - Esteganografia Digital para transmissão oculta de mensagens. Diego Fiori de Carvalho stoa.usp.

Esteganografia Digital para transmissão oculta de mensagens. Diego Fiori de Carvalho stoa.usp.br/diegofdc

ESTEGANOGRAFIA DIGITAL. Diego Fiori de Carvalho

VoIP x Wireshark Quem ligou para você e o que conversaram. André R. Landim CAIS/RNP III EnSI CERT.Bahia Salvador/BA Novembro 2013

REDES DE COMPUTADORES

Capítulo 5 Sumário. Formato das Mensagens ICMP. Tipos de Mensagens ICMP

Camada de Transporte Protocolos TCP e UDP

Resumo P2. Internet e Arquitetura TCP/IP

Protocolos e Arquiteturas de Redes. Thiago Leite

Camada de Rede Fundamentos e Protocolos. 6/7/18 Organizado por Bruno Pereira Pontes brunopontes.com.br

TM 1. Manuel P. Ricardo. Faculdade de Engenharia da Universidade do Porto

Redes de Computadores. Protocolos TCP/IP

Camada de rede. Introdução às Redes de Computadores

Redes de Computadores

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

Redes de computadores e a Internet. Prof. Gustavo Wagner. A camada de rede

Arquitetura TCP/IP - Internet Protocolo IP Protocolo ICMP

Segurança de Redes de Computadores

Arquitetura TCP/IP - Internet Protocolo IP Protocolo ICMP

CENTRAL DE CURSOS 29/05/2014

Modelo OSI x Modelo TCP/IP

Funcionalidades da camada de rede

CURSO: PREPARATÓRIO PARA PM ALAGOAS

Solução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!

Redes de Computadores

Camada de Aplicação da Arquitetura TCP/IP

Material de Apoio. Protocolos

INFO ARQ REDES. Prova 2 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Protocolos ponto-a-ponto e a camada de enlace

IP Móvel, v4 FEUP MPR. Encaminhamento tradicional de datagramas IP. » Alteração das rotas para as máquinas móveis?

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

Redes de Computadores

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

Parte 3: Camada de Rede

Prof. Samuel Henrique Bucke Brito

IP Móvel 1. Mobilidade IP FEUP MPR

Redes TCP/IP - Aula 13 Fragmentação Datagrama IP

Redes de Computadores 2 Prof. Rodrigo da Rosa Righi - Aula 6

Protocolos de Rede. Protocolos em camadas

Pingo D'água: ICMP para Internet das Coisas Aquáticas

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Segurança de Redes 5º Semestre

Tendências em Atividades Maliciosas na Internet Brasileira

Laboratório Usando Wireshark para Examinar Quadros Ethernet

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

Ferramentas para Coexistência e Transição IPv4 e IPv6. Módulo 7

Arquitetura TCP/IP. Parte VII Mensagens de controle e erro (ICMP) Fabrízzio Alphonsus A. M. N. Soares

Projeto de sistemas O novo projeto do Mercado Internet

QUESTÕES SOBRE GERÊNCIA DE REDES

INTERNET P R O F. M A R C O A N T Ô N I O PROF. MARCO ANTÔNIO

Níkolas Timóteo Paulino da Silva Redes de Computadores I ADS 2ºTermo

Configuração do Servidor Gateway Firewall e DHCP

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática

Capítulo 4 TCP/IP FIREWALLS.

Prof. Samuel Henrique Bucke Brito

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

Redes de Computadores. A arquitectura protocolar TCP/IP

Camada de Rede. Endereçamento de Rede Protocolo IP

Visão geral da arquitetura do roteador

Arquitetura de Rede. Universidade Católica de Pelotas Curso de Engenharia da Computação Disciplina: Redes de Computadores I

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Origem:

Modelos de Referência

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

INF01154 Redes de Computadores N Turma B Laboratório 5

: TMS M

Traceroute em Detalhes

Prof. Samuel Henrique Bucke Brito

Projeto de Ensino. iptables. Grupo de Estudos em Tecnologia de Redes e Processamento Paralelo. Prof. Luiz Antonio Unioeste

Redes de Computadores

Internet Control Message Protocol - ICMP. Rodolfo Riyoei Goya rgoya@uol.com.br

CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DO RIO GRANDE DO NORTE DEPARTAMENTO ACADÊMICO DE TECNOLOGIA DA INFORMAÇÃO

Redes de Computadores e a Internet Kurose. Prof. Rone Ilídio da Silva DTECH-CAP-UFSJ

Ataques para obtenção de informações

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

Firewall. Prof. Marciano dos Santos Dionizio

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

INSTITUTO FEDERAL SP CAMPUS DE PRESIDENTE EPITÁCIO PESQUISA PROTOCOLO ICMP

Modelo em Camadas Arquitetura TCP/IP/Ethernet. Edgard Jamhour

Laboratório Uso do Wireshark para examinar quadros Ethernet

Nível de segurança de uma VPN

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Vamos conhecer o RouterOS dos equipamentos Mikrotik

Resumo. Redes de Computadores. História da Internet. História da Internet. História da Internet. História da Internet

Comunicação em Rede e Internet. Computação Aplicada à Comunicação e Artes Carlos Eduardo Ba9sta

SDN-IPS - Uma solução para contenção de ataques cibernéticos usando SDN/OpenFlow

Padrões (arquiteturas) de rede

Arquitetura e Protocolos de Rede TCP/IP

Prof RG Crespo Criptografia e Segurança das Comunicações. Introdução à segurança de protocolos. Pilha de protocolos (1)

P L A N O D E D I S C I P L I N A

Aula 5 Camada de rede (TCP/IP):

Protocolos de Interligação de Redes Locais e a Distância Protocolos de Rede. Thiago Leite

Alunos em técnico em Informática da EAFS: Leandro Cavalari, Maria Matos e Renata Rasche.

Segurança em Sistemas Informáticos. Denial of Service

REDES DE COMPUTADORES


Protocolos, DNS, DHCP, Ethereal e comandos em Linux

Segurança da Internet no Brasil: Estudos e Iniciativas

Transcrição:

Covert channels: o que são, o que fazem e como - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Dezembro de 2006 Ivo de Carvalho Peixinho ivocarv@cais.rnp.br RNP/PAL/0198 2006 RNP

Sumário Introdução Covert channels Covert channels usando DNS Ferramentas Captive portals em redes Wireless Detectando Covert Channels Bloqueando Covert Channels Conclusões 2

Introdução Covert channels Canais camuflados Transferência de informação através de um canal escondido Ocultar informação na rede Exemplos Túneis IPv6 Túneis ICMP Túneis DNS Um covert channel é um canal de comunicação que permite a um processo transmitir informação de uma forma que viola a política de segurança do sistema Steganografia TCP/IP Headers 3

Introdução Covert channels Finalidades Esconder informação que trafega na rede Botnets Worms Honeypots / honeynets Burlar firewalls e sistemas de autenticação Botnets Captive Portals de provedores Wireless Autenticação ADSL 4

Introdução Covert channels em TCP/IP headers Pacote IP 16 bit identification field Identificação de fragmentos 24 bit IP Options 8 bit padding Pacote TCP 32 bit sequence number 32 bit acknowledge number 5

Introdução Covert channels - Implementações The Implementation of Passive Covert Channels in the Linux Kernel Joanna Rutkowska Dec 2004 (NUSHU) 6

Introdução Covert channels - Implementações Know your enemy Sebek Nov 2003 7

Introdução Covert channels - Implementações IP sobre ICMP Encapsulamento de pacotes IP dentro de pacotes ICMP Túnel ICMP Ferramentas ICMPTX itun PingTunnel Ptunnel ICMPTX Utiliza icmp types 0 (echo reply) e 8 (echo request) 8

Introdução Covert channels - Implementações IP sobre DNS Encapsulamento de pacotes IP dentro de pacotes DNS Ferramentas NSTX OzymanDNS (Dan Kaminsky) DNScat Porque DNS? Normalmente liberado em firewalls Wireless captive portals aceitam tráfego DNS Autenticação ADSL 9

Covert Channels usando DNS IP Sobre DNS Funcionamento (OzymanDNS) Envio de pacotes Nome DNS comporta até 253 caracteres 63 caracteres entre os pontos (.) Codificação de informação usando base32 Um caracter para cada 5 bits (a-z, 0-6) 180 caracteres (3 grupos de 60) separados por pontos = 180 * 5 = 900 bits = 112 bytes por consulta Exemplo: zjabdbcctvaojbz55mqwe224ceyeltkbhyaasncpljgc53pirtsmuz ihcjrw.uujca7ytd3tifmmglrcsl65r3w3ba4mixix6nemd6eulfy2 ss62xmff3zecv.ttivj2trx642zlrgpbwo2f2glnxk7yxyu3pfeiuvga wc7mijpqn5sh4j.63034-0.id-1187.up.foo.com 10

Covert Channels usando DNS IP Sobre DNS - Funcionamento Recebimento de pacotes Pacotes DNS até 512 bytes Fragmentação Registros TXT (SPF) Codificação de informação usando base64 Um caracter para cada 6 bits (a-z, A-Z, 0-9,=,/) Exemplo: "MCaydY5mzxGm2QCqAGLObIAKAAAAAAAACAAAAAECMyayd Y5mzxGm2QCqAGLObCwAAAAAAAAAAgAC\010AAIAAgACAA AAAAAAAAAAAACh3KuMR6nPEY7kAMAMIFNlaAAAAAAAAAAl pqvwq5lvtr9mpcy=\010" 11

Covert Channels usando DNS Arquitetura Servidor DNS autoritativo tunnel.example.com in NS a.tunnel.example.com a.tunnel.example.com Servidor (53 UDP) Consulta Consulta Resposta Servidor DNS Genérico Consulta (base32).tunnel.example.com Cliente Resposta (IN TXT (base64) ) 12

Covert Channels usando DNS Arquitetura Máquina com autoridade DNS Criação de um subdomínio para o servidor IP-sobre-DNS (IN NS) Serviços de redirecionamento gratuitos (freedns.afraid.org) Máquina com endereço IP válido / servidor IP-sobre-DNS (ex: speedy) Porta 53 UDP disponível OzymanDNS + SSH Forwarding NSTX + interfaces tun DNScat + PPPD Cliente IP-sobre-DNS / laptop Wireless 13

Covert Channels usando DNS 14

Covert Channels: o que são, o que fazem e como Covert Channels usando DNS 15

Burlando autenticação Wireless 16

17

Detectando Covert Channels Verificar anomalias em cabeçalhos IP, TCP, ICMP Verificar desvios de tráfego normal (IDS estatístico) Verificar conteúdo de tráfego ICMP (Ex: ping) Magic numbers (ex: 0xD5200880 ptunnel) Verificar conteúdo de cabeçalhos HTTP e POST requests Verificar consultas TXT no DNS Verificar excesso de consultas DNS Monitorar tráfego IPv6 18

Bloqueando Covert Channels Sanitizar ou bloquear tráfego anômalo Bloquear IP spoofing Bloquear echo request/respose, ou limitar a taxa de transmissão Utilizar um servidor proxy HTTP para processar requisições Restringir o uso de cabeçalhos HTTP Bloquear consultas TXT Problemas com SPF Limitar requisições DNS sucessivas de um mesmo endereço Detectar e bloquear covert channels é uma tarefa complexa. Normalmente é necessário saber o que se está procurando 19

Conclusões Covert channels são uma realidade Existem ferramentas desenvolvidas com esta finalidade Existe malware utilizando covert channels Túneis IPv6 Tráfego escondido em consultas BGP Detecção e bloqueio de covert channels é uma tarefa complexa Necessita saber o que se está procurando Monitorar o tráfego entrando e saíndo na sua rede Anomalias em pacotes Variações do tráfego normal 20

Referências http://www.securityfocus.com/news/11406 http://www.digitalsec.net/stuff/texts/dns-tunnelingv0.2-en.txt http://en.wikipedia.org/wiki/covert_channel http://tadek.pietraszek.org/projects/dnscat/ http://www.plenz.com/tunnel-everything http://dnstunnel.de/ http://thomer.com/icmptx/ http://thomer.com/howtos/nstx.html 21

Referências http://www.rsasecurity.com/rsalabs/node.asp?id=2351 http://www.firstmonday.org/issues/issue2_5/rowland/ http://kruptos.inchcolm.org/ http://www.linuxexposed.com/content/view/153/1/ http://www.waterken.com/dev/enc/base32/ http://staff.science.uva.nl/~delaat/snb-2005-2006/p27/report.pdf http://www.invisiblethings.org/ http://directory.fsf.org/network/misc/ptunnel.html http://freedns.afraid.org/ 22

Informações de Contato Centro de Atendimento a Incidentes de Segurança CAIS cais@cais.rnp.br - http://www.rnp.br/cais Ivo de Carvalho Peixinho ivocarv@cais.rnp.br Ronaldo Vasconcellos ronaldo@cais.rnp.br 23

Contato com o CAIS: Notificação de Incidentes Incidentes de segurança envolvendo redes conectadas ao backbone da RNP podem ser encaminhadas ao CAIS por: 1. E-mail: cais@cais.rnp.br Para envio de informações criptografadas, recomenda-se o uso da chave PGP pública do CAIS, disponível em: http://www.rnp.br/cais/cais-pgp.key 2. Web: Através do Formulário para Notificação de Incidentes de Segurança, disponível em http://www.rnp.br/cais/atendimento_form.html INOC-DBA Para entrar em contato com o CAIS através da hotline INOC-DBA (Inter-NOC Dial-By-ASN): INOC-DBA: 1916*800 Atendimento Emergencial Contatos emergenciais fora do horário comercial (09:00-18:00) devem ser feitos através do telefone (61) 3217-6355 Alertas do CAIS O CAIS mantém a lista rnp-alerta@cais.rnp.br, com assinatura aberta à comunidade atuante na área. Inscrições através do formulário disponível em: http://www.rnp.br/cais/alertas 24

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback