SEGURANÇA DE REDE Prof. André Dutton
Patrimônio
AMEAÇAS Vírus, worms e cavalos de Tróia Spyware e adware Ataques "zero-day", também chamados de ataques "zero-hour" Ataques de hackers Ataques de negação do serviço Roubo e intercepção de dados Roubo de identidade Pessoas mal intencionadas Outros
Probing (sondagem) Tecnicamente não é uma técnica de invasão, mas uma forma de obter informações sobre a rede.
Rootkits Ao invadir uma rede, pode ser utilizado uma serie de mecanismo para esconder os rastros deixados e garantir a uma próxima invasão se necessario.
Backdoors Consiste em uma tática onde o invasor utiliza um programa para deixar uma porta aberta depois da invasão. Ou utiliza alguma vulnerabilidade deixada por alguns programas ou pelo próprio administrador da rede.
Worms Este trata-se de um programa auto replicante, semelhante a um vírus, onde infecta um programa e necessita deste para se propagar de forma automática infectando outros programas e dispositivos na rede.
Spywares Spayware consiste no software que recolhe informações de um determinado dispositivo e transmite essas informações a um meio externo (ex. E-mail Ftp )
Buffer Overflow Esta técnica consiste em tentar armazenar mais dados do que a memoria suporta causando erros e possibilitando a entrada de um invasor, podendo ser utilizado também para sobrecarregar um determinado dispositivo na rede causando o DoS.
Exploits Os exploits são pequenos programas que tem como finalidade explorar falhas já conhecidas de determinados programas ou linguagens.
Password Crackers São programas utilizados para descobrir senhas dos usuários. Estes programas geralmente são muito lentos, uma vez que utiliza uma word list e combinação possíveis para a senha, também conhecido com Brut Force.
Denial Of Services (Negação de serviços) Está técnica tem como função principal impedir que os usuários fação acesso a um determinado serviço. Esta técnica é muito comum em serviços web onde também é conhecido como Flood.
Spoofing O spooging consiste em mascarar pacotes IP com endereços de remetentes falsos. O atacante falsifica o seu numero de IP para atacar uma rede.
Mail Bomb O Mail Bomb tenta encher uma caixa postal com mensagens eletrônicas. Em geral o Agressor usa um Script para gerar um fluxo continuo de mensagem para abarrotar uma determinada caixa postal.
Scamming Esta técnica consistem em roubar senhas de e números de contas de clientes, baseia-se em e- mails falsos também conhecidos como mail fishing.
Key Loggers Este por sua vez tem como finalidade capturar as informações que são digitadas no teclado podendo envia-las por e-mail.
Bots Muito semelhando a um worm, o bot é um programa capar de se propagar automaticamente explorando vulnerabilidades ou falhas em softwares na rede, na maioria o bot é controlado remotamente.
Sniffers Os sniffers (farejador), é um programa que tem como finalidade capturar pacotes que trafegam na rede
Bem ou Mal http://insecure.org/tools/tools-pt.html
Ethereal Ferramenta de análise de protocolos Permite a observação de dados capturados da rede em tempo real ou previamente capturados e guardados num ficheiro ou disco. Pode-se navegar interativamente nos dados capturados, observando resumos ou informação pormenorizada de cada datagrama. O Ethereal possui diversas facilidades poderosas, nomeadamente uma linguagem rica para filtragem dos dados apresentados e a possibilidade de observar o fluxo de dados de uma sessão TCP reconstruída. Possui uma versão textual, nãográfica, chamada tethereal.
Snort O Snort é uma ferramenta eficiente de detecção de intrusões, capaz de efetuar análises em tempo real de tráfego capturado e registo de datagramas em redes IP. Permite analisar protocolos, procura de conteúdos e pode ser usado para detectar diversos ataques e sondas, nomeadamente transbordamentos de memória (buffer overflows), levantamentos furtivos (stealth) de portos de transporte, ataques usando CGI, sondas para SMB, tentativas de identificação de sistemas operativos, etc. O Snort usa uma linguagem flexível baseada em regras para descrever o tráfego que deverá ser considerado ou não para posterior análise e um motor de detecção modular
Netcat É ainda uma ferramenta poderosa para analisar problemas ou explorar uma rede, uma vez que permite criar praticamente qualquer tipo de ligação que seja necessária e possui diversas capacidades intrínsecas interessantes.
TPCDump Win Dump O Tcpdump é uma ferramenta não gráfica bem conhecida e muito apreciada para análise de tráfego em redes. Pode ser usada para apresentar os cabeçalhos dos datagramas que passam por uma interface de rede e que validam uma regra imposta. Esta ferramenta pode ser usada para detectar problemas de rede ou para monitorizar a actividade na rede. Existe uma versão própria para Windows chamado WinDump.
DSniff Esta colecção, bem concebida é muito popular, possui muitas ferramentas. As ferramentas dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy permitem monitorizar uma rede de forma passiva em busca de conteúdos interessantes (senhas, e-mail, ficheiros, etc.). As ferramentas arpspoof, dnsspoof, e macof facilitam a intercepção de tráfego de rede normalmente inacessível a um atacante (v.g., por causa da comutação de nível 2). As ferramentas sshmitm and webmitm realizam ataques activos de brincalhão-nomeio, contra sessões SSH ou HTTPS redireccionadas, explorando validações fracas inerentes ao uso de PKI ad-hoc. Um transporte parcial para Windows, suportado separadamente, está disponível em http://www.datanerds.net/~mike/dsniff.html
GFI LANguard O LANguard analisa redes e produz relatórios com informação que inclui quais os nível de actualização (Service Packs level) do sistema de cada máquina, as correcções de segurança em falta, os recursos partilhados disponíveis, os portos de transporte disponíveis, serviços/aplicações disponíveis no computador, entradas-chave do registo (registry), senhas fracas, utilizadores e grupos e mais ainda. Os resultados da análise são apresentados num relatório em HTML, que pode ser adaptado/pesquisado. Aparentemente uma versão gratuita limitada está disponível para fins não comerciais ou para avaliação.
Ettercap O Ettercap é uma ferramenta não gráfica para inspecção/intercepção/registo de tráfego em LAN Ethernet. Ë capaz de dissecar de forma passiva ou activa inúmeros protocolos (inclusive os que são cifrados, como o SSH ou HTTPS). É ainda capaz de injectar dados em ligações estabelecidas e filtrar dados das mesmas em tempo real sem as des-sincronizar. Possui diversos modos de captura de tráfego que permitem fornecer um conjunto completo e eficaz de formas de inspecção. Suporta plugins. Consegue verificar se está ou não numa máquina ligada a uma LAN comutada e consegue ainda efectuar o levantamento da geometria da rede através do reconhecimento, activo ou passivo, de sistemas operativos.
Whisker/Libwhisher O Whisker é ferramenta de inspecção de servidores HTTP que permite detectar muitos problemas de segurança, nomeadamente a presença de CGI perigosos. Libwhisker é uma biblioteca de perl (usada pelo Whisker) que permite a criação de inspectores de HTTP específicos. Se pretende auditar mais do que servidores
John the Ripper John the Ripper é um prospector de senhas eficiente, actualmente disponível para muitas versões de Unix (11 são suportadas oficialmente, sem distinguir arquitecturas), DOS, Win32, BeOS e OpenVMS. A sua finalidade primeira é descobrir senhas Unix fracas. Suporta diversos tipos de sumários de senhas crypt(3) que são usuais nas várias versões de Unix, bem como sumários usados no Kerberos do AFS e sumários LM do Windows NT/2000/XP. Várias outras formas de sumariar senhas podem ser acrescentadas com a contribuição de melhoramentos.
Sam Spade O SamSpade fornece uma realização e uma interface gráfica coerente para diversas tarefas de interrogação de redes. For desenhada com o propósito de detectar spammers mas pode ser útil para outras tarefas relacionadas com a exploração, administração e segurança de redes. Inclui ferramentas tal como o ping, nslookup, whois, dig, traceroute, finger, navegador HTTP elementar, transferência de zonas DNS, detector de retransmissores SMTP, localizador de servidores Web, entre outras. Utentes que não usem o Windows podem recorrer a versões interativas de muitas das suas ferramentas
Kismet O Kismet é um poderoso inspector e dissecador de tráfego em redes 802.11b. É capaz de capturar tráfego com a maioria das interfaces de redes sem fios, de detectar automaticamente infra-estruturas de rede IP através de datagramas UDP, ARP e DHCP e de listas de equipamentos Cisco através do Cisco Discovery Protocol, de registar datagramas cifrados com técnicas vulneráveis e de produzir registos de capturas com um formato compatível com o Ethereal e com o tcpdump. Permite ainda desenhar redes detectadas e estimar áreas de cobertura em mapas importados ou imagens em ficheiro fornecidas pelos utentes.
Super Scan Um inventariador de portos TCP abertos baseado em ligações, detector de máquinas com ping e tradutor de nomes de máquinas. Não é fornecido código fonte. Permite inventariar portos e máquinas usando gamas de endereços IP. Permite ainda iniciar uma ligação a um porto descoberto usando aplicações de apoio indicadas pelos utentes (v.g. Telnet, navegadores Web, FTP).
Cain & Abel Cain & Abel é uma ferramenta gratuita de prospecção de senhas para sistemas Microsoft Windows. Permite uma prospecção fácil de vários tipos de senhas através da escuta da rede, da pesquisa de senhas cifradas usando ataques com dicionários ou exaustivos, da descodificação de senhas baralhadas, da descoberta de chaveiros e de senhas em cache e da análise de protocolos de encaminhamento. O código fonte não é fornecido.
Nemesis O Projecto Nemesis tem como intuito a gestão da pilha IP por humanos em UNIX/Linux (e atualmente também Windows) usando comandos de consola. O arsenal subdivide-se por protocolo e deverá permitir a injeção útil de fluxos de datagramas a partir de scripts
Os riscos da falta de segurança em sistemas - Os vírus - destrutivos - de alteração de conteúdo - DoS - Os ataques (Hackers) - Cavalos de tróia - Sniffer - Servidores e serviços mal administrados (Port Scan) - Roubo de identidade (Spoof) - Quebra de senhas (Password cracking) - Engenharia pessoal (convencer alguém de revelar informações) 3 5
Políticas de segurança - Senhas - senhas fortes X senhas fracas - não divulgação - ser encriptada (função do administrador) - Administração de pessoal - pior das variáveis (citar o caso DEL) - instruir os usuários de como operar o sistema - instruir os usuários da política de segurança da empresa - instruir os usuários do tipo de uso do sistema - conteúdos de e-mail - SPAM 3 6
Políticas de segurança 3 7 Segurança física de sistemas - fator negligenciado por parte dos administradores - impedir o roubo de equipamentos - acesso físico restrito ao sistema - backup das informações (fazer parte da política da empresa) - no backup levar em conta os desastre físicos Tipo de sistemas de segurança - via Software (fraca) - via Hardware (forte) - combinação Software + Hardware (melhor) - todos configurados pelo administrador da rede
Software de segurança 3 8 Firewall - é um sistema de proteção contra acessos não autorizados - acesso interno, externo ou ambos Softwares - Programas antivírus com firewall Bom para usuários domésticos e pequenas empresas Não muito eficientes para grandes empresas Configuração simplificada Anti-vírus ativos
Software de segurança 3 9 Sistemas Open Source (GNU Linux / Free BSD) - grande eficiência - mínimos requisitos de hardware - maior controle do que acontece em seu interior - grande comunidade de auxilio - larga experiência na área de segurança - maleabilidade das configurações Pontos negativos - difícil configuração - mão de obra especializada - investimento em treinamento
Hardware de segurança + firewall juntamente com outras opções de configuração controla todo tráfego entre a rede interna e a externa. Somente tráfego autorizado passa pelo Firewall. Administração do controle de acesso centralizado Tipo de controle de um Firewall - controle de serviço (tipos de serviços autorizados) - controle de sentido (fluxo dos serviços) - controle de usuário (controle no nível de acesso do usuário) - controle de comportamento (como o serviço deve ser usado) 4 0
Hardware de segurança 4 1 Firewall Tipos de firewall - filtragem de pacotes - gateways de aplicação - gateways de circuito Estação Estratégica - máquina segura instalada em um ponto crítico da rede - executa SO confiável e estável - pode atuar como proxy de serviços Internet - pode ser usado para interconectar duas redes (sub-redes)
Hardware de segurança Firewall Filtragem de pacotes 4 2 ação local host port remote host port allow server_a 25 * 25 block host_a 80 * *
4 3 Hardware de segurança Firewall Gateways de circuito in in in out out out Gateway de circuito utilização de diferentes portas
4 4 Hardware de segurança Firewall - Estação Bastião (proxy) Todas as conexões, entre as rede, devem ser autorizadas pelo estação estrategica
4 5 Sistemas de detecção de intrusões (IDS) - Solução complementar ao firewall - Software capazes de detectar atividades suspeitas - Utiliza-se de padrões conhecidos de comportamento de intrusos - Podem analisar o tráfego interno, externo e entre eles -análise de tráfego
Sistemas de detecção de intrusões (IDS) Signature detection - procura de padrões específicos - desvantagem - ter de conhecer de antemão o padrão Behaviour detection - cada rede tem determinada característica (estatística) - procura alterações nestas característica (pico de uso fora de hora) - desvantagem - método não muito eficaz Protocol anomaly detection - análise do pacote com seu padrão - exemplo: os ataques do Code Red alteram o formato do pacote durante os pedidos HTTP, o IDS detecta esta alteração 4 6
Criptografia - Criptografia ciência de codificar informações -Vinha sendo usada no âmbito militar e diplomático - Nos últimos anos houve um grande avanço na criptografia computacional - É usada para - garantir sigilo (somente usuário autorizados) - integridade da informação (não alteração da informação) - autenticação dos participantes (confirmação de identidade) - Para cifrar ou decifrar dados é necessário uma chave ou senha - Chave algoritmo matemático de difícil determinação - Senha secreta e de difícil determinação 4 7
Criptografia - Tipos de criptografia - simétrica (mesma chave/senha para cifrar e decifrar) - assimétrica (chaves/senhas diferentes para cifrar e decifrar) - Criptografia simétrica - como passar a senha/chave para o destinatário de forma segura? - eficiente em processos temporários de conexão - Criptografia assimétrica - chave privada (somente o proprietário a conhece) - chave pública (todos podem a conhecer) - teve maior aceitação devido a sua forma de utilização - quando mais divulgarmos a chave pública melhor 4 8
Assinatura digital - versão digital da assinatura de uma pessoal - destinatário pode comprovar a assinatura digital, dando assim credibilidade a informação transmitida - quando verificada uma assinatura digital não pode ser negada (não repudio) - garantem a integridade do documento - garantem a legitimidade do remetente - exemplo, para personalizar uma mensagem, um determinado usuário A codifica uma mensagem utilizando sua chave secreta e a envia para o destinatário. Somente a chave pública de A permitirá a decodificação dessa mensagem. Portanto é a prova de que A enviou a mensagem - a mensagem pode ser decodificada por qualquer um que tenha a chave pública do remetente 4 9
Rede privada virtual (VPN) - Provem segurança através de redes inseguras (ex. Internet) - Nível de segurança aceitável - Bom para administração remota - Redução de custo de links - Pode ser implementada através de links dedicados ou não - Ponto negativo: desempenho e/ou atraso - Aplicações - acesso remota via Internet - interconexão de redes via Internet - interconexão dentro de uma rede (restringir acessos) 5 0
Rede privada virtual (VPN) Acesso remoto via Internet 5 1
Rede privada virtual (VPN) Interconexão dentro de uma rede (restringir acessos) 5 2
REDES WIRELESS Prof. André Dutton
WIRELESS As redes wireless são utilizadas para conectar dispositivos sem a utilização de cabos e fios, utilizando sinais de rádio. Dentro deste modelo de comunicação, enquadram-se várias tecnologias, como Wi-Fi, InfraRed (infravermelho), bluetooth e Wi-Max.
Infrastructure: A chamada modalidade infrastructure é um método em que os dispositivos-clientes (usuários) wireless comunicam-se diretamente com a Base Hotspot (pontos de acesso central). A Modalidade do infrastructure constrói uma ponte entre a rede wireless a a rede Ethernet com cabo. Peer-to-peer ou Ad-hoc: A modalidade ad-hoc permite que os dispositivosclientes wireless dentro de uma certa área se descubram e comuniquem-se na forma do par-àpar sem envolver pontos de acesso centrais.
Exemplos Bluetooth é uma tecnologia para a comunicação sem fio entre dispositivos eletrônicos (principalmente celulares)a curtas distâncias(normalmente até 10 metros). CDMA, GSM, TDMA, GPRS Todas essas tecnologias são utilizadas pelas operadoras de telefonia celular. WiGig A tecnologia é cerca de 10 vezes mais veloz que uma conexão 802.11n padrão(1 Gbps). WiMAX Tecnologia de banda larga sem-fio. Espera-se que os equipamentos Wi-Max tenham alcance de até 50 Km e capacidade de banda passante de até 70 Mbps.
Wi-FI Wi-Fi é o termo para as redes sem fio baseadas no padrão IEEE 802.11, que utiliza uma freqüência de rádio e não precisa de licença para operação e instalação.
SEGURANÇA
WEP WEP significa Wired Equivalent Privacy, e foi introduzido na tentativa de dar segurança durante o processo de autenticação, proteção e confiabilidade na comunicação entre os dispositivos Wireless. Wired Equivalent Privacy (WEP) é parte do padrão IEEE 802.11 (ratificado em Setembro de 1999), e é um protocolo que se utilizava para proteger redes sem fios do tipo Wi-Fi.
WAP Wi-Fi protected access (WPA) - Também chamado de WEP2, ou TKIP (Temporal Key Integrity Protocol) O método WPA oferece um maior nível de proteção de dados e controle de acesso para uma rede local sem fios. Para melhorar a criptografia de dados, o método WPA utiliza uma chave mestra compartilhada. WPA 2 - A principal diferença entre o WPA original e o WPA2 é que o WPA2 requer a utilização do Advanced Encryption Standard (AES) para cifrar os dados
VUNERABILIDADES o o o o o o o Não tem segurança fim-a-fim ARP Spoofing DNS Spoofing Smurf DHCP Spoofing Man-in-the-middle DoS
IEEE s 802.11 IEEE 802.11s é um projeto IEEE 802.11 alteração de rede mesh, definindo como dispositivos sem fio podem interligar-se para criar uma rede em malha sem fios, que pode ser utilizado para topologias estáticas. Eles são comumente usados hoje em seu 802.11a, 802.11b, 802.11g, e 802.11n versões para fornecer conectividade sem fio em casa, no escritório e alguns estabelecimentos comerciais.