Académique Documents
Professionnel Documents
Culture Documents
Redes de Computadores
Tipos de Ataques
Pilha TCP/IP
1- Camada Fsica;
2- Camada de Enlace;
3- Ataques STP e Vlans;
4- Camada de Transporte;
5- Camada de Aplicao;
2/31
Camada Fsica
PROBLEMAS:
Indisponibilidade de Servios:
- Corte de Cabos e Fibras;
- Fontes eletromagnticas prximo de cabos de
cobres;
- Alta tanso aplicadas em redes eltricas;
- Interferncia em redes sem fio;
3/31
Soluo
Reestruturao da Infra-estrutura:
- Rede eltrica e rede de dados;
- Implementar redundncia;
- Rede sem fio: longe de interferncia
eletromagnticas e canais menos poluidos;
4/31
Camada de Enlace
MAC Address:
- MAC Spoofing (interrupo de servios/man-inthe-middle);
Tabela CAN(Content-Addessable Memory):
- Overflow memria normal, tamanho limitado;
- 1999 Ian Vitek MACOF;
- Inundao de MAC invlido 155000 p/min;
Resultado:
Switch = HUB
Possibilitando ataque:
Man-in-the-middle
5/31
Soluo
Switches Gerenciveis:
- Controlar e monitorar trfego por porta/Vlan;
- Detectar uso no autorizado de ferramentas de
monitoramento (snnifer);
- MAC Spoofing avoid;
6/31
Funcionamento DHCP
7/31
Problemas?
8/31
Soluo
9/31
VLANs e STP
Vlan: boa proteo na camada de Enlace;
802.1Q padro aberto;
M configurao:
- Vlan hopping: invasor tenta enviar dados para hosts
que esto em outras VLANs atravs da alterao da tag
que diz a qual VLAN pertence o dado, o que permite ao
atacante criar um link em modo trunk entre ele e o
switch, e dessa forma ter acesso a todos os hosts em
todas as VLANs configuradas.
- loops de rede;
11/31
STP
- Spanning Tree Protocol (802.1D);
- Ataque envio de broadcasts de configurao
STP ou mudanas de topologia atravs dos
BPDUs (Bridge Protocol Data Unit), forando
reclculos STP e esperando que o atacante se
torne o root bridge;
- 30s a 45s para reeleger root bridge DOS;
Para Evitar:
- Monitorar trfego de rede;
- Configuraes de switch;
12/31
Camada de Rede
- IP - Internet Protocol
- ICMP - Internet Control Message Protocol;
- Servio de datagramas no confivel - melhor
esforo;
- Pacote sem garantias podendo chegar
desordenado ou duplicado ou simplesmente
perdido por inteiro;
- Confiabilidade camada de transporte;
-Ataques: Negao de Servio e Invaso de
Privacidade;
13/31
Sniffing de pacotes
- Monitoramento de trfego em redes comutadas;
- Ferramentas: dsniff, tcpdump, wireshark;
- Informaes de camadas superiores so
emcapsuladas em IP e podem ser divulgadas;
- POP3, SMTP, SNMP etc. transmitem senhas em
texto plano e tambm pode ser encontrados
dados sensveis;
Solues:
- Switches gerenciveis, VPNs criptografadas,
IPSec;
14/31
IP Spoofing
- Invasor utiliza de um endereo IP confivel
(falsificado) para se comunicar com um host a fim
de obter acesso no autorizado a esse host.
- O atacante pode iniciar um ataque de negao
de servio atravs do envio de dados com o
endereo IP de origem falsificado.
- O receptor envia de volta respostas com grande
quantidade de dados para o IP atacado,
resultando em um ataque de inundao
- Envio de dados utilizando endereos de vrios
hosts - ataque de negao de servios distribudo
DDOS;
15/31
Protocolos de Roteamento
17/31
ICMP
- Troca de mensagens de controle entre hosts e
routers;
- Mensagens de Time Exceeded ou Destination
Unreachable - DOS;
- Mensagens de Redirect - fora
redirecionamento;
Desabilitar redirecionamento de mensagens:
/proc/sys/net/ipv4/conf/all/accept_redirects
18/31
Ping
- Verificar conectividade;
- Ping Flooding inundao de pacotes icmp;
Soluo
- Filtro de pacotes (firewall) que limita o numero
de mensagens ICMP por um determindado
tempo.
- Problema: pode bloquear mensagens
verdadeiras;
19/31
Camada de Transporte
TCP threeway handshake:
SYN - SYNACK ACK
SYN Flood grande quantidade de SYN sem
enviar ACK, alocao de recurso da mquina
trava ou reinicia;
LAND land.c envia pacotes com o prprio
endereo do host leva p/ 100% a CPU
Soluo: filtro de pacote SYN / firewall pessoal;
20/31
TCP
Man-in-the-midle:
- TCP Connection Hijacking (desvio);
- Assume o controle da conexo no momento do
triplo handshake, ou atravs de estado
desincronizado;
- injetar pacotes forjados porm com nmeros de
sequncia corretos modifica ou injeta comandos
na conexo;
- difcil de ser identificado;
21/31
UDP
Protocolo simples, no orientado a conexo;
UDP Flooding:
- Grande quantidade de pacotes, endereados a
portas aleatrias;
- Sobrecarga, falha do sistema;
Soluo:
- filtro de pacotes;
22/31
23/31
Camada de Aplicao
24/31
DNS
- Autoritativos: responde consulta global;
- Recursivo: consulta local;
Falha:
- Recursivo aberto:
- Cache poisoning: redireciona clientes p/ site
falso;
- DdoS: consulta DNS forjado;
Solues:
- chroot jail;
- Atualizaes e correes;
- TSIG DNS Transaction Signatures;
- DNS validation Option/View;
25/31
Web Server
- Vulnerabilidades de scripts, ex: CGI, PHP;
- Permisso de leitura e execuo no servidor;
- DoS;
Soluo:
- Patchs de segurana, sistema atualizado;
- remover mdulos add-on (mod_php, mod_cgi,
mod_perl);
- executar scripts com suEXEC ex: no id
APACHE;
- no executar servidor web como root;
- monitorar modificaes de arquivos;
26/31
Softwares em geral
27/31
28/31
SNMP
Simple Network Management Protocol;
Padro de Monitoramento e Configurao;
Habilitado por default em novos equipamentos;
SNMP v1 e v2 mtodo de autenticao fraco;
Community, porta 161 UDP no encriptada;
Soluo:
- Criar 2 community public(read) e private(w r);
- SNMP v3 autenticao e encriptao;
- Altere a community padro;
- firewall: apenas mquinas confiveis conectar
SNMP;
29/31
OpenSSL
30/31
Fim
31/31