Segurana e Arquitetura em

Redes de Computadores

Prof. Lincoln Herbert Teixeira

lincolnh@utfpr.edu.br
1/31

Tipos de Ataques
Pilha TCP/IP
1- Camada Fsica;
2- Camada de Enlace;
3- Ataques STP e Vlans;
4- Camada de Transporte;
5- Camada de Aplicao;

2/31

Camada Fsica
PROBLEMAS:
Indisponibilidade de Servios:
- Corte de Cabos e Fibras;
- Fontes eletromagnticas prximo de cabos de
cobres;
- Alta tanso aplicadas em redes eltricas;
- Interferncia em redes sem fio;

3/31

Soluo

Reestruturao da Infra-estrutura:
- Rede eltrica e rede de dados;
- Implementar redundncia;
- Rede sem fio: longe de interferncia
eletromagnticas e canais menos poluidos;

4/31

Camada de Enlace
MAC Address:
- MAC Spoofing (interrupo de servios/man-inthe-middle);
Tabela CAN(Content-Addessable Memory):
- Overflow memria normal, tamanho limitado;
- 1999 Ian Vitek MACOF;
- Inundao de MAC invlido 155000 p/min;
Resultado:
Switch = HUB
Possibilitando ataque:
Man-in-the-middle
5/31

Soluo

Switches Gerenciveis:
- Controlar e monitorar trfego por porta/Vlan;
- Detectar uso no autorizado de ferramentas de
monitoramento (snnifer);
- MAC Spoofing avoid;

6/31

Funcionamento DHCP

7/31

Problemas?

- DHCP Starvation (MAC falso / DHCP falso);

- DHCP Offer falso antes do verdadeiro;

8/31

Soluo

- Switches inteligentes que possuam

ferramentas de segurana que no permitam
mais de um endereo MAC em uma porta.

9/31

ARP Address Resolution

Protocol
Protocolo simples Mapeia IP para MAC;
Essencial para comunicao TCP/IP;
No possui recursos de segurana;
Problemas
ARP Spoofing IP ou MAC falso:
- man-in-the-middle;
- DOS;
Solues
- IP/MAC manual (invivel em alguns casos);
- Ferramentas de monitoramento / auditoria,
software de inventrio;
10/31

VLANs e STP
Vlan: boa proteo na camada de Enlace;
802.1Q padro aberto;
M configurao:
- Vlan hopping: invasor tenta enviar dados para hosts
que esto em outras VLANs atravs da alterao da tag
que diz a qual VLAN pertence o dado, o que permite ao
atacante criar um link em modo trunk entre ele e o
switch, e dessa forma ter acesso a todos os hosts em
todas as VLANs configuradas.

- loops de rede;
11/31

STP
- Spanning Tree Protocol (802.1D);
- Ataque envio de broadcasts de configurao
STP ou mudanas de topologia atravs dos
BPDUs (Bridge Protocol Data Unit), forando
reclculos STP e esperando que o atacante se
torne o root bridge;
- 30s a 45s para reeleger root bridge DOS;
Para Evitar:
- Monitorar trfego de rede;
- Configuraes de switch;
12/31

Camada de Rede
- IP - Internet Protocol
- ICMP - Internet Control Message Protocol;
- Servio de datagramas no confivel - melhor
esforo;
- Pacote sem garantias podendo chegar
desordenado ou duplicado ou simplesmente
perdido por inteiro;
- Confiabilidade camada de transporte;
-Ataques: Negao de Servio e Invaso de
Privacidade;
13/31

Sniffing de pacotes
- Monitoramento de trfego em redes comutadas;
- Ferramentas: dsniff, tcpdump, wireshark;
- Informaes de camadas superiores so
emcapsuladas em IP e podem ser divulgadas;
- POP3, SMTP, SNMP etc. transmitem senhas em
texto plano e tambm pode ser encontrados
dados sensveis;
Solues:
- Switches gerenciveis, VPNs criptografadas,
IPSec;
14/31

IP Spoofing
- Invasor utiliza de um endereo IP confivel
(falsificado) para se comunicar com um host a fim
de obter acesso no autorizado a esse host.
- O atacante pode iniciar um ataque de negao
de servio atravs do envio de dados com o
endereo IP de origem falsificado.
- O receptor envia de volta respostas com grande
quantidade de dados para o IP atacado,
resultando em um ataque de inundao
- Envio de dados utilizando endereos de vrios
hosts - ataque de negao de servios distribudo
DDOS;
15/31

Kernel contra IP Spoofing

rp_filter
- Para habilitar a proteo IP spoofing no Kernel
para todas as interfaces:
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
- Para habilitar apenas na interface eth0:
# echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
16/31

Protocolos de Roteamento

- Problemas principalmente nos roteamentos

dinmicos RIP, BGP e OSPF;
- Quando esto configurados de maneira errada,
podem permitir que atacantes injetem rotas falsas
nas tabelas de roteamento;
- Permite DOS ou captura de dados;

17/31

ICMP
- Troca de mensagens de controle entre hosts e
routers;
- Mensagens de Time Exceeded ou Destination
Unreachable - DOS;
- Mensagens de Redirect - fora
redirecionamento;
Desabilitar redirecionamento de mensagens:
/proc/sys/net/ipv4/conf/all/accept_redirects

18/31

Ping
- Verificar conectividade;
- Ping Flooding inundao de pacotes icmp;
Soluo
- Filtro de pacotes (firewall) que limita o numero
de mensagens ICMP por um determindado
tempo.
- Problema: pode bloquear mensagens
verdadeiras;
19/31

Camada de Transporte
TCP threeway handshake:
SYN - SYNACK ACK
SYN Flood grande quantidade de SYN sem
enviar ACK, alocao de recurso da mquina
trava ou reinicia;
LAND land.c envia pacotes com o prprio
endereo do host leva p/ 100% a CPU
Soluo: filtro de pacote SYN / firewall pessoal;
20/31

TCP
Man-in-the-midle:
- TCP Connection Hijacking (desvio);
- Assume o controle da conexo no momento do
triplo handshake, ou atravs de estado
desincronizado;
- injetar pacotes forjados porm com nmeros de
sequncia corretos modifica ou injeta comandos
na conexo;
- difcil de ser identificado;
21/31

UDP
Protocolo simples, no orientado a conexo;
UDP Flooding:
- Grande quantidade de pacotes, endereados a
portas aleatrias;
- Sobrecarga, falha do sistema;
Soluo:
- filtro de pacotes;
22/31

TCP e UDP scan

Nmap:
- Descobre quais portas TCP e UDP esto
abertas;
Soluo:
- IDS Identificador de Intruso;

23/31

Camada de Aplicao

24/31

DNS
- Autoritativos: responde consulta global;
- Recursivo: consulta local;
Falha:
- Recursivo aberto:
- Cache poisoning: redireciona clientes p/ site
falso;
- DdoS: consulta DNS forjado;
Solues:
- chroot jail;
- Atualizaes e correes;
- TSIG DNS Transaction Signatures;
- DNS validation Option/View;
25/31

Web Server
- Vulnerabilidades de scripts, ex: CGI, PHP;
- Permisso de leitura e execuo no servidor;
- DoS;
Soluo:
- Patchs de segurana, sistema atualizado;
- remover mdulos add-on (mod_php, mod_cgi,
mod_perl);
- executar scripts com suEXEC ex: no id
APACHE;
- no executar servidor web como root;
- monitorar modificaes de arquivos;
26/31

Softwares em geral

Exemplo CVS vulnerabilidade na porta TCP

2401;
- buffer overflow;
- FTP: usurios annimos apenas leitura;
- Sempre que possvel utilizar conexes
criptografadas (ex: ssh, IPSec, PGP);

27/31

Mail

MTA Mail Transport Agent:

- SMTP porta 25;
- buffer overruns e heap overflows;
- open relay: spam, lista negra, perda de banda
til;

28/31

SNMP
Simple Network Management Protocol;
Padro de Monitoramento e Configurao;
Habilitado por default em novos equipamentos;
SNMP v1 e v2 mtodo de autenticao fraco;
Community, porta 161 UDP no encriptada;
Soluo:
- Criar 2 community public(read) e private(w r);
- SNMP v3 autenticao e encriptao;
- Altere a community padro;
- firewall: apenas mquinas confiveis conectar
SNMP;
29/31

OpenSSL

Vrias Aplicaes utilizam OpenSSL: Apache,

Sendmail, LDAP, SSH, FTP;
Se a verso est vulnervel, todos os sistemas
tambm estaro.

30/31

Fim

31/31