FACULDADE PITÁGORAS Prof. Fabrício Lana Segurança de Redes Laboratório 2 - Exercício Prático – Spoofing Objetivo Demonstrar o funcionamento da técnica Spoofing, apresentar exemplos e realizar sua análise técnica. Introdução O IP Spoofing é uma técnica de ocultação ou transformação do endereço IP. Nela o endereço real da máquina, que pode ser um atacante da sua rede, é oculto ou mascarado, de forma a evitar que ele seja encontrado. O principal objetivo do IP Spoofing é que após o ataque não haja “finger prints” (impressões digitais). Utilizando-se do IP Spoofing, um atacante pode navegar de forma anônima pela Web, protegendo a sua identidade, sem que seja possível identificar a sua origem. Outra aplicação interessante, neste caso de defesa, é que ocultando o seu IP e a sua identidade, pode-se evitar que alguém navegue, utilizando o seu endereço, em outras palavras, roube a sua identidade real. Como descrito acima, a técnica de IP Spoofing também pode ser utilizada em conjunto com outras técnicas, principalmente para ocultar a identidade real de quem navega na web. Uma aplicação muito comum é utilizar o spoofing para, tendo modificado o cabeçalho de email que carrega trojans ou esconde um ataque de phishing, modificar também os endereços IP por onde passou aquela mensagem, dificultado o seu rastreamento. O IP Spoofing é possível de ser realizado porque o protocolo IP não verifica a origem dos pacotes. Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Uma das técnicas utilizadas para tal é a utilização de um Proxy alternativo entre o seu endereço de origem e de destino, que receba os pacotes enviados e os encaminhe para o destino com outro endereço ip no cabeçalho do pacote. Vamos agora praticar e conhecer um pouco mais sobre esta técnica. FACULDADE PITÁGORAS Prof. Fabrício Lana Obs1: Atenção, esta atividade não deverá ser desenvolvida diretamente nos computadores da faculdade. Para o seu desenvolvimento utilize o seu notebook ou máquinas virtuais! Obs2: Em função da natureza do exercício, alguns dos sites indicados podem estar bloqueados no Proxy/firewall da faculdade. Utilize neste caso um link de internet alternativo, por exemplo a sua conexão 3G. Parte1 Existem diferentes maneiras de se ocultar um endereço IP. Neste exercício vamos utilizar o software HideMyIP, disponível em: http://www.hide-my-ip.com/ Baixe o aplicativo e instale-o na sua máquina, seguindo os passos sugeridos pelo próprio programa. A tela do programa será semelhante a exibida abaixo. Não clique ainda em ocultar IP e não modifique nenhuma configuração ainda. 1. Observe que o programa exibe um endereço IP. Pergunta-se: A quem pertence este IP na realidade? Qual é e de onde vem a informação que o programa captura? FACULDADE PITÁGORAS Prof. Fabrício Lana Utilize o site http://whatismyipaddress.com/ para auxiliá-lo nesta pergunta. Tendo obtido informações preliminares sobre o seu IP, em situação normal, sem spoofing ainda, vamos agora observar o caminho percorrido pelos pacotes, da sua origem até o endereço uol.com.br, por exemplo. Para tal utilize a ferramenta de tracert visual1, disponível em: http://www.yougetsignal.com/tools/visual-tracert/ 2. Qual a diferença entre o Proxy Trace e o Host Trace? Qual delas você deverá utilizar para rastrear o caminho do pacote a partir da sua origem? Porque ? 3. Faça um print na tela ou anote o caminho percorrido pelo pacote, desde a sua origem. Ele nos será útil em um segundo momento logo adiante. Se você não compreendeu bem a pergunta, execute os mesmos comandos acima para o endereço IP exibido inicialmente pelo Hide My IP. 4. No prompt de comando, execute tracert uol.com.br. Porque o caminho exibido na ferramenta web é mais longo que aquele exibido no prompt? 1 A indicação visual de localização fornecida por esta ferramenta não é muito precisa, mas as rotas, baseiam-se nos saltos realizados pelos pacotes e pelos roteadores que encaminharam o teste. FACULDADE PITÁGORAS Prof. Fabrício Lana Parte 2 Utilize agora o programinha instalado (HydeMyIP) para ocultar seu endereço verdadeiro ou trocar o seu endereço IP, clicando na opção “HydeMyIP” disponível na tela principal do programa. 5. Anote o endereço obtido: ____________________ Utilizando o site http://whatismyipaddress.com/ que identifica a origem e fornece outras informações sobre o seu IP, certifique-se de já estar navegando anonimamente. 6. Anote aqui as informações fornecidas pelo site, detalhando o nome do provedor do seu novo IP e em qual cidade ele se localiza? 7. Neste mesmo site, clicando em Blacklist Check, ou através da url http://whatismyipaddress.com/blacklist-check , verifique se o endereço que você obteve não está na “lista negra” de algum servidor da internet. Que resultados você obteve? Muito bem, tendo obtido informações preliminares sobre seu novo IP, hahannn você está oculto agora, utilize novamente a ferramenta de visual tracert do site http://www.yougetsignal.com/tools/visual-tracert/ e repita o teste de rastreamento do caminho do pacote até o uol.com.br. 8. O que você observou de diferente agora? Como você explicaria esta mudança? Sim ela tem a ver com seu novo IP, mas porque isto ocorre? 9. Por meio de uma pesquisa na web, identifique e explique o significado dos diferentes tipos de classificação de Proxy? Transparent Proxy / Anonymous Proxy/ Elite Proxy / Highly Anonymous Proxy FACULDADE PITÁGORAS Prof. Fabrício Lana Você também pode exibir na sua página pessoal o endereço IP de quem está te visitando. Veja como isto pode ser bem simples no link: Dica Legal http://whatismyip.com.br/tools.php O outro lado do outro lado .... Como para quase tudo, também no mundo digital há de existirem dois lados. Afinal, para cada novo mecanismo de ataque, surgirá uma nova devesa e para cada novo sistema surgirá um novo mecanismo de ataque, em uma guerra de inteligência. Vamos então agora em busca de alguma alternativa para desmascarar o hide ip. Será que isto é possível? Como? Acesse o site http://www.grc.com2. Clique na aba services e em seguida ShieldsUp. O site vai exibir alguns avisos alertando para o fato de que você está permitindo uma varredura da suas máquinas/servidores e de que tem autonomia ou autorização para tal. Clique em proceed para continuar com os testes. Como a página seguinte é Https, será exibido um alerta de que, apesar de utilizar criptografia, parte da página ou dos dados recebidos e enviados trafegarão em texto aberto, sem criptografia. 2 Como um aluno atento e esperto, você já deve estar imaginando não ser conveniente executar este tipo de teste ou instalar estas ferramentas na sua empresa. Afinal, uma coisa é identificar e mostrar para você eventuais falhas ou problemas com a segurança. Outra é o que propriamente pode ser feito a partir disto. Em outras palavras, utilizando esta ferramenta na sua empresa, você está poupando o trabalho do hacker de procurar por você. FACULDADE PITÁGORAS Prof. Fabrício Lana Na tela seguinte, dentro do quadro azul, clique em common ports. 10. Que tarefa exatamente o site está realizando agora? Qual o endereço IP exibido? Porque isto aconteceu ? 11. O teste indicou alguma vulnerabilidade de porta? Qual ? Que risco real ela representa?