seguranca_bloco_007

Propaganda
Segurança de Rede
Segurança da Informação
Prof. Sales Filho <[email protected]>
Conteúdo Programático
Segurança da informação
 Abrangência da segurança
 Consequência dos ataques
 Objetivos da segurança
 Natureza dos ataques






Packet Sniffing
ARP Spoofing
IP Spoofing
Fragmentação de pacotes IP
DoS
2
Segurança da informação

A segurança de redes tem como
objetivo proteger as informações que
trafegam pela rede visando garantir a
CID:
 Confidencialidade
 Integridade
 Disponibilidade
3
Abrangência da segurança





Entender a motivação dos ataques


Todo ataque tem um motivo!
O que minha empresa tem a oferecer?





Tecnologias
Pessoas
Processos
Negócios
Leis
Entender a natureza dos ataques
Conhecer os mecanismos de defesa
Obter uma visão abrangente para a definição da
melhor estratégia de segurança
Envolve diferentes aspectos:
Qual é o elo mais fraco ?
4
Consequência dos ataques
Perda de produtividade
Perda de reputação
Perda de mercado
Produto inovador lançado antes pelo
concorrente
 Perdas tangíveis






Perdas intangíveis


Financeiras
Dados sigilosos
A consequência do ataque está diretamente ligada ao
nível de acesso que o atacante obteve no recurso.
5
Objetivos da segurança

Prover uma rede 100% segura?


Gerenciamento de risco?


Sim! Identificar, minimizar, controlar.
Segurança é um processo contínuo e
evolutivo?


Não! Isso é impossível.
Sim, novas ameaças são identificadas diariamente.
Qual a importância de um plano de
contingência?

O objetivo é dar continuidade aos negócios, é
importante ter um plano B.
6
Natureza dos ataques










Exploração de vulnerabilidades

Lógicas, físicas...

Engenharia social, corrupção...

Procedimentos falhos...

Falha no gerenciamento dos riscos...

É preciso evoluir sempre, continuamente...

Senhas podem ser atacadas...
Exploração do ser humano
Brechas em processos das empresas
Falhas na definição e implementação das políticas de
segurança
Desenvolvimento de ataques mais sofisticados
Utilização ineficiente de senhas
Mau uso de ferramentas legítimas
Configuração, administração e manutenção imprópria
Uso de configurações padrão
Administração relaxada
7
Tipos de ataques




Packet sniffing
ARP Spoofing
Fragmentação de pacotes IP
Denial of Service (DoS)
8
Packet sniffing





Packet sniffer = Analisador de protocolos
para os analistas de redes
Monitoramento passivo de todo o tráfego do
segmento de rede
tcpdump do Linux é um ótimo analisador
passivo
Placa de rede funcionando em modo
promiscuo
Como evitar o monitoramento em todo o
segmento de rede?

Utilizando switch
9
ARP Spoofing
Endereço IP de 32 bits
Endereço Ethernet de 48 bits
Consiste em enganar o mapeamento entre o
endereço MAC e o endereço IP feito pelo
protocolo ARP
 O ataque visa enviar um ARP falso em uma
rede local direcionando o tráfego do destino
correto para um sistema comprometido

10
IP Spoofing


Falsificação de endereço IP de origem
O objetivos:


E enganar o sistema de destino fingindo-se ser
uma origem conhecida
Direcionar respostas para o endereço forjado
Muito usado em ataques de negação de
serviços DoS
 É preciso tomar cuidados especiais na
configuração dos firewalls para evitar esse
tipo de ataque.

11
Fragmentação de pacotes IP





A característica do próprio IPv4 é fragmentar
Maximum Transfer Unit (MTU)
 Ethernet é 1500 bytes
 FDDI é 4470 bytes
Fragmentação e reagrupamento
(remontagem)
Uso de offset para reagrupamento
O processo de fragmentação e
reagrupamento ocorre automaticamente,
sem a intervenção do usuário
12
Fragmentação de pacotes IP

Ataques de fragmentação IP

Ataque de Buffer Overflow
Na remontagem, os recursos do sistema receptor se
esgotam, visto que o reagrupamento aguarda a chegada de
todos os fragmentos
 Problemas: travamento do sistema, caracterizando um
ataque de Dinial of Service


Ataques conhecidos de Fragmentação

Ping of Death (1996)

Pacotes ICMP Echo Request com tamanho superior a
65.535

Uso para “driblar” firewall e/ou IDS

Técnicas de scanning
 Estes
sistemas não realizam remontagem
 Mapeamento
de sistemas e serviços
13
Denial of Service (DoS)
Afeta a disponibilidade da informação
 Explora recursos de uma forma
agressiva, estressando-os e impedindo-os

de realizar suas tarefas básicas
 Usuários legítimos ficam impedidos de
acessar o recurso
 Pode “derrubar” um servidor, encher um link,
estourar a memória ou explorar uma
vulnerabilidade
 Diversas técnicas em diferentes níveis da
pilha TCP/IP podem ser usadas
14
Denial of Service (DoS)

Técnicas de DoS
 SYN Flood
 Sequestro de
 Smurf
 Fraggle

conexão
Ferramentas
 Teardrop
 Land
 Variação...
15
Denial of Service (DoS)

SYN Flood
O ataque de SYN flood (Inundação/Enxurrada
de pacotes SYN) se vale da característica do
estabelecimento das conexões TCP
 Desestabiliza/Derruba os recursos
computacionais do sistema atacado
 O ataque consiste no envio de uma grande
quantidade de pedidos de conexão
 A vítima se torna incapaz de responder todos
os pedidos de conexão
 Os recursos computacionais da vítima se
esgotam e requisições de usuários válidos são
perdidas.

16
Denial of Service (DoS)

Estabelecimento de conexões (Revisão)
17
Denial of Service (DoS)

Sequestro de conexão
 Man-in-the-Middle ou Session Hijacking
 Explora o prognóstico do número de
sequência do three-way-handshake
 O atacante fica entre o cliente e o servidor,
podendo assim alterar toda a comunicação
entre eles
 O atacante envia informações infiltrando-se
nas conexões, baseado na descoberta do
número de sequência das conexões
18
Denial of Service (DoS)

Smurf
 Pacote
ping (ICMP echo) o endereço de
broadcast da rede, usando IP Spoofing
 Todos os hosts respondem ao ping para o
host que teve seu endereço falsificado (IP
Spoofing)
 Esse ataque faz duas vítimas: a rede e o
host que teve o IP falsificado

Fraggle
 Mesmo
que o Smurf, só que utilizando
pacotes UDP ao invés de ICMP.
19
Denial of Service (DoS)
 Ferramentas
 Teardrop
 Explora
os problemas de fragmentação
IP nas implementações do TCP/IP
 Land
 IP
Spoofing
 Variações
 Unnamed
attack
20
Distributed Denial of Service
(DDoS)
 Ataque
de negação de serviço
distribuído

Difícil de descobrir a origem dos ataques

Milhares de origens...
 Estrutura
 Hacker
hierárquica
controla masters, que controlam
zumbies ou daemons
 Todos
são vítimas desse ataque
 Masters
 Zumbies
 Sistema atacado
 Hoje
de forma distribuída
os vírus são bastante utilizados para
esse tipo de ataque.
21
Breve histórico

Ataques bem divulgados

Maio 2000: VBS/Love Letter(I love you) - Eng. Social

Agosto 2000: ferramenta de DoS Trinity

Fevereiro 2001: VBS/On the fly (Anna Kournikova) – Eng.
Social

Julho 2001: vírus w32/Sircam – Eng. Social + nova forma de
worm

Setembro 2001: Ninda – combina ataque de e-mail,
compartilhamento de pastas..., instalação de backdoors.

Novembro 2001: Klez – Exploração de vulnerabilidades do
micrososft outlook

Janeiro 2003: SQL Server worm (SQLSlamer)
22
Ataques coordenados
 Tribe Flood Network
 Surgiu em julho de 1999
 IP Spoofing
 SYN Spoofing
 Ping flooding
 Smuf
23
Bibliografias



[Stallings 2008] Stallings, William. Criptografia e
segurança de redes, 4. Ed. São Paulo: Pearson
Prentice Hall, 2008.
[Minasi 2003] Minasi, Mark et al. Dominando o
Windows Server 2003 - a bíblia. Pearson, 2003.
[ESR] Segurança de Redes e Sistemas
Download