Segurança de Rede Segurança da Informação Prof. Sales Filho <[email protected]> Conteúdo Programático Segurança da informação Abrangência da segurança Consequência dos ataques Objetivos da segurança Natureza dos ataques Packet Sniffing ARP Spoofing IP Spoofing Fragmentação de pacotes IP DoS 2 Segurança da informação A segurança de redes tem como objetivo proteger as informações que trafegam pela rede visando garantir a CID: Confidencialidade Integridade Disponibilidade 3 Abrangência da segurança Entender a motivação dos ataques Todo ataque tem um motivo! O que minha empresa tem a oferecer? Tecnologias Pessoas Processos Negócios Leis Entender a natureza dos ataques Conhecer os mecanismos de defesa Obter uma visão abrangente para a definição da melhor estratégia de segurança Envolve diferentes aspectos: Qual é o elo mais fraco ? 4 Consequência dos ataques Perda de produtividade Perda de reputação Perda de mercado Produto inovador lançado antes pelo concorrente Perdas tangíveis Perdas intangíveis Financeiras Dados sigilosos A consequência do ataque está diretamente ligada ao nível de acesso que o atacante obteve no recurso. 5 Objetivos da segurança Prover uma rede 100% segura? Gerenciamento de risco? Sim! Identificar, minimizar, controlar. Segurança é um processo contínuo e evolutivo? Não! Isso é impossível. Sim, novas ameaças são identificadas diariamente. Qual a importância de um plano de contingência? O objetivo é dar continuidade aos negócios, é importante ter um plano B. 6 Natureza dos ataques Exploração de vulnerabilidades Lógicas, físicas... Engenharia social, corrupção... Procedimentos falhos... Falha no gerenciamento dos riscos... É preciso evoluir sempre, continuamente... Senhas podem ser atacadas... Exploração do ser humano Brechas em processos das empresas Falhas na definição e implementação das políticas de segurança Desenvolvimento de ataques mais sofisticados Utilização ineficiente de senhas Mau uso de ferramentas legítimas Configuração, administração e manutenção imprópria Uso de configurações padrão Administração relaxada 7 Tipos de ataques Packet sniffing ARP Spoofing Fragmentação de pacotes IP Denial of Service (DoS) 8 Packet sniffing Packet sniffer = Analisador de protocolos para os analistas de redes Monitoramento passivo de todo o tráfego do segmento de rede tcpdump do Linux é um ótimo analisador passivo Placa de rede funcionando em modo promiscuo Como evitar o monitoramento em todo o segmento de rede? Utilizando switch 9 ARP Spoofing Endereço IP de 32 bits Endereço Ethernet de 48 bits Consiste em enganar o mapeamento entre o endereço MAC e o endereço IP feito pelo protocolo ARP O ataque visa enviar um ARP falso em uma rede local direcionando o tráfego do destino correto para um sistema comprometido 10 IP Spoofing Falsificação de endereço IP de origem O objetivos: E enganar o sistema de destino fingindo-se ser uma origem conhecida Direcionar respostas para o endereço forjado Muito usado em ataques de negação de serviços DoS É preciso tomar cuidados especiais na configuração dos firewalls para evitar esse tipo de ataque. 11 Fragmentação de pacotes IP A característica do próprio IPv4 é fragmentar Maximum Transfer Unit (MTU) Ethernet é 1500 bytes FDDI é 4470 bytes Fragmentação e reagrupamento (remontagem) Uso de offset para reagrupamento O processo de fragmentação e reagrupamento ocorre automaticamente, sem a intervenção do usuário 12 Fragmentação de pacotes IP Ataques de fragmentação IP Ataque de Buffer Overflow Na remontagem, os recursos do sistema receptor se esgotam, visto que o reagrupamento aguarda a chegada de todos os fragmentos Problemas: travamento do sistema, caracterizando um ataque de Dinial of Service Ataques conhecidos de Fragmentação Ping of Death (1996) Pacotes ICMP Echo Request com tamanho superior a 65.535 Uso para “driblar” firewall e/ou IDS Técnicas de scanning Estes sistemas não realizam remontagem Mapeamento de sistemas e serviços 13 Denial of Service (DoS) Afeta a disponibilidade da informação Explora recursos de uma forma agressiva, estressando-os e impedindo-os de realizar suas tarefas básicas Usuários legítimos ficam impedidos de acessar o recurso Pode “derrubar” um servidor, encher um link, estourar a memória ou explorar uma vulnerabilidade Diversas técnicas em diferentes níveis da pilha TCP/IP podem ser usadas 14 Denial of Service (DoS) Técnicas de DoS SYN Flood Sequestro de Smurf Fraggle conexão Ferramentas Teardrop Land Variação... 15 Denial of Service (DoS) SYN Flood O ataque de SYN flood (Inundação/Enxurrada de pacotes SYN) se vale da característica do estabelecimento das conexões TCP Desestabiliza/Derruba os recursos computacionais do sistema atacado O ataque consiste no envio de uma grande quantidade de pedidos de conexão A vítima se torna incapaz de responder todos os pedidos de conexão Os recursos computacionais da vítima se esgotam e requisições de usuários válidos são perdidas. 16 Denial of Service (DoS) Estabelecimento de conexões (Revisão) 17 Denial of Service (DoS) Sequestro de conexão Man-in-the-Middle ou Session Hijacking Explora o prognóstico do número de sequência do three-way-handshake O atacante fica entre o cliente e o servidor, podendo assim alterar toda a comunicação entre eles O atacante envia informações infiltrando-se nas conexões, baseado na descoberta do número de sequência das conexões 18 Denial of Service (DoS) Smurf Pacote ping (ICMP echo) o endereço de broadcast da rede, usando IP Spoofing Todos os hosts respondem ao ping para o host que teve seu endereço falsificado (IP Spoofing) Esse ataque faz duas vítimas: a rede e o host que teve o IP falsificado Fraggle Mesmo que o Smurf, só que utilizando pacotes UDP ao invés de ICMP. 19 Denial of Service (DoS) Ferramentas Teardrop Explora os problemas de fragmentação IP nas implementações do TCP/IP Land IP Spoofing Variações Unnamed attack 20 Distributed Denial of Service (DDoS) Ataque de negação de serviço distribuído Difícil de descobrir a origem dos ataques Milhares de origens... Estrutura Hacker hierárquica controla masters, que controlam zumbies ou daemons Todos são vítimas desse ataque Masters Zumbies Sistema atacado Hoje de forma distribuída os vírus são bastante utilizados para esse tipo de ataque. 21 Breve histórico Ataques bem divulgados Maio 2000: VBS/Love Letter(I love you) - Eng. Social Agosto 2000: ferramenta de DoS Trinity Fevereiro 2001: VBS/On the fly (Anna Kournikova) – Eng. Social Julho 2001: vírus w32/Sircam – Eng. Social + nova forma de worm Setembro 2001: Ninda – combina ataque de e-mail, compartilhamento de pastas..., instalação de backdoors. Novembro 2001: Klez – Exploração de vulnerabilidades do micrososft outlook Janeiro 2003: SQL Server worm (SQLSlamer) 22 Ataques coordenados Tribe Flood Network Surgiu em julho de 1999 IP Spoofing SYN Spoofing Ping flooding Smuf 23 Bibliografias [Stallings 2008] Stallings, William. Criptografia e segurança de redes, 4. Ed. São Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server 2003 - a bíblia. Pearson, 2003. [ESR] Segurança de Redes e Sistemas