Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouDaniel Favela Alterado mais de 10 anos atrás
1
Principais ataques Engenharia social Coleta de informação Varredura
Negação de serviço Exploração de bugs Exploração de protocolos Sniffers Ataque do dicionário Código malicioso
2
NÃO foi projetada para Internet Uso em ambiente comerciais
Tráfego de informações importantes/sensíveis Resistir a usuários/agentes maliciosos
3
Internet Conseqüências rede gigantesca sem controle centralizado
vários caminhos para um mesmo ponto não existem limites definidos anonimato facilmente obtido SEM SEGURANÇA
4
Maiores Problemas Mecanismos fracos de identificação/autenticação
Maioria dos meios de transmissão utilizam broadcast Ethernet IP sobre TV a Cabo Microondas e rádio Dados são transmitidos em claro
5
Maiores Problemas Mecanismos fracos de identificação/autenticação
Protocolos “confiam” na origem dos pacotes que trafegam na Internet Muitos mecanismos de autenticação baseiam-se no endereço IP de origem do pacote CRC ou checksum não impedem falsificações (falsificador recalcula)
6
X Maiores Problemas Meios de transmissão em broadcast Host B Host A
Permite monitorar o tráfego da rede Permite copiar dados transmitidos Placa de rede em modo promíscuo Placa de rede em operação normal Host B X Host A Para Host B
7
Maiores Problemas Dados são transmitidos em claro
Qualquer um pode capturar dados da rede (sniffer) Qualquer um pode entender os dados sendo transmitidos Qualquer um pode alterar os dados sendo transmitidos (interceptar e retransmitir)
8
Protocolos Protocolos TCP/IP
9
Deficiências do IP Ataques de fragmentação Normal
Sobreposição de fragmentos IP Header TCP Header DADOS IP Header MAIS DADOS... IP Header TCP Header DADOS IP Header MAIS DADOS...
10
Deficiências do IP Ataques de fragmentação
DoS (Denial of Service): ocasionados por problemas de reconstrução de pacotes fragmentados Evasivos: obscurecer o ataque através de fragmentos sobrepostos, dificultando a detecção deste Ataques a portas bloqueadas: um atacante pode construir um pacote com um cabeçalho aceitável no primeiro fragmento, mas sobrescrevê-lo num segundo fragmento que possua um cabeçalho falso
11
Deficiências do IP IP Spoofing
Origem e/ou destino do pacote IP são forjados IP Spoofing é parte de um ataque mais sofisticado Casos em que o ataque é utilizado: O atacante pode interceptar a resposta O atacante não precisa receber a resposta O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina
12
Deficiências do IP IP Spoofing Atacante Host A Vítima
O atacante pode interceptar a resposta From: Host A To: Vítima Atacante From: Vítima To: Host A Host A Vítima
13
Deficiências do IP IP Spoofing Atacante Host A Vítima
O atacante não precisa receber a resposta: DoS From: Host A To: Vítima Atacante Host A Vítima
14
Deficiências do IP IP Spoofing Atacante Host A Vítima
O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina From: Host A To: Vítima Atacante From: Vítima To: Host A Host A Vítima
15
Deficiências do IP Soluções Possíveis
Redes baseadas em switch: dificultam ataques passivos (sniffers) mas existe ARP redirect Regras no firewall: evitar que IPs diferentes dos da rede local saiam para a Internet evitar que IPs iguais aos da rede local entrem pela Internet
16
Deficiências do ICMP Cabeçalho ICMP
17
Mensagens ICMP Deficiências do ICMP Enumeração de alvos DoS
Address-Mask Reply 18 Address-Mask Request 17 Echo Request (ping) 8 Redirect (change route) 5 Source Quench 4 Destination Unreachable 3 Echo Reply (ping) Mensagem ICMP Campo Type Enumeração de alvos DoS Descoberta da rede
18
Deficiências do ICMP Enumeração de alvos Host A Host B Internet Host C
Echo Request Host A Internet Host B Host C Atacante Host D Host A, B, C, D
19
Deficiências do ICMP Smurf attack Atacante Vítima Intermediário
IP Spoofing + ICMP Echo Request From: Vítima To: Intermediário Ping de Broadcast Atacante From: Intermediário To: Vítima Vítima Intermediário
20
Deficiências do ICMP Denial of Service Atacante Host A Vítima
Source Quench, ou ICMP Redirect ou ICMP Destination Unreachable From: IP Spoofed To: Vítima Destination Unreachable Atacante From: Vítima To: Host A Host A Vítima
21
Deficiências do ICMP Soluções possíveis
Bloquear pacotes ICMP no firewall Pode ser muito drástico Bloquear pacotes com IP de broadcast Configurar o SO para não responder a pacotes ICMP destinados a endereços de broadcast Bloquear certos pacotes ICMP destination unreachable source quench Redirect Address-mask Request Echo Request
22
Deficiências do TCP Cabeçalho TCP
23
Deficiências do TCP Network scanning techniques
Utilizam combinações ilegais de flags de controle do TCP SYN FIN é o mais conhecido SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH e outras variações do SYN FIN Pacotes apenas com o bit FIN setado Pacotes com todos ou nenhum flag setado
24
Deficiências do TCP TCP SYN - uso normal SYN SYN ACK ACK Servidor
Host A DADOS Host A
25
Deficiências do TCP TCP SYN Flooding (negação de serviço) SYN SYN ACK
Servidor Host A SYN Host A SYN Host A Host A
26
Deficiências do TCP TCP SYN Flooding (negação de serviço distribuída)
Várias conexões são criadas junto a um servidor Servidor não consegue distinguir entre conexões legítimas e falsas
27
? Deficiências do TCP TCP Kill Atacante RST ACK Host A Vítima TCP
DoS baseado em pacotes RST ACK para encerrar conexões Atacante ? RST ACK Host A Vítima TCP
28
Deficiências do TCP TCP Hijacking
Possibilidade de um atacante controlar uma conexão TCP existente Forjar pacotes TCP Conhecimento do número de seqüência de uma conexão Ter conhecimento da conexão
29
Deficiências do TCP cat /etc/shadow TCP Hijacking Atacante Host A
Vítima TCP
30
Deficiências do TCP Soluções possíveis
Regras no firewall: barrar pacotes com combinações ilegais de flags no firewall Overhead no firewall Utilizar IDSs (Intrusion Detection System): monitorar pacotes “anormais” na rede Redes baseadas em switch: dificultam a monitoração da rede
31
Deficiências do UDP Cabeçalho UDP
32
Deficiências do UDP Difícil de ser monitorado
Não é orientado a conexão Primeira resposta recebida normalmente é aceita Permite a troca de informações e comunicações ilícitas: tunelamento UDP
33
Deficiências do UDP Soluções Possíveis
Bloquear pacotes UDP no firewall Muito drástico Pacotes DNS utilizam o protocolo UDP
34
Negação de Serviço DoS, ou denial-of-service Ping of Death
Pacotes de ping com tamanho exagerado ping -l host Teardrop Datagramas IP são fragmentados e devem ser remontados Ataque fornece valores errados de deslocamento (valores muito grandes, valores negativos) Variações: newtear, bonk, boink
35
Negação de Serviço DoS, ou denial-of-service Nestea
Ataque de fragmentação, informando tamanhos errados Sesquipedalian Ataque de fragmentação (primeiro fragmento de tamanho zero) Saturação da cache de roteamento Após 4096 ataques, cache satura Nenhuma nova conexão é aceita
36
Negação de Serviço DoS, ou denial-of-service Syn Flood
Cliente envia SYN Servidor responde com SYN/ACK Cliente não responde mais Conexão cai por “time-out” Tempo entre 75 segundos a 23 minutos Ataque funciona com um pacote SYN por segundo
37
Negação de Serviço DoS, ou denial-of-service Smurf Attack
Envio de requisições de ping em broadcast, com endereço fonte falsificado Exemplo: ICMP ECHO para x.y.z.255, a partir da vítima x.y.z.k Todas as máquinas da sub-rede (amplifying network) respondem para a máquina vítima Variação: fraggle Usa porta 7 UDP - echo em vez de ICMP
38
Negação de Serviço DoS, ou denial-of-service Octopus
Abre o maior número possível de conexões na máquina alvo Desvantagem: Requer conexões abertas no atacante Coke: ataca WINS (Windows Internet Name Service) Pepsi: UDP flood Jolt: fragmentos super-dimensionados para Windows 9x
39
Negação de Serviço Impedir ataques de negação de serviço é quase impossível Toda máquina que aceita conexões do mundo externo é passível de ser atacada Distribuir os serviços para a maioria permanecer operacional Providenciar recursos suficientes para que o sistema continue funcionando mesmo com carga extrema Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema
40
Protocolos de Aplicação
Utilizam os protocolos das camadas inferiores Possuem as mesmas deficiências DNS (Domain Name System) Telnet FTP (File Transfer Protocol) SMTP (Simple Mail Transfer Protocol) POP (Post Office Protocol)
41
Deficiências do DNS DNS (Domain Name System)
Implementa uma base de dados distribuída com a finalidade de traduzir nomes em endereços IP e vice-versa Utiliza basicamente o protocolo UDP, podendo também utilizar o protocolo TCP
42
Deficiências do DNS DNS não foi projetado para ser um protocolo seguro
Não se tem como verificar a veracidade da resposta de retornada por um servidor de DNS O fato de utilizar preferencialmente o UDP facilita ataques DNS Spoofing DNS Cache Poisoned
43
X Deficiências do DNS DNS Spoofing www.ufrgs.br ?! Servidor DNS
Internet Vítima = IP atacante Atacante
44
Deficiências do DNS DNS Cache Poisoned www.ufrgs.br ?! Servidor DNS
IP atacante = IP atacante Internet Vítima Atacante
45
Protocolos de Aplicação
Telnet Permite acesso remoto a outras máquinas Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Nome e senha transmitidas em claro Dados da sessão transmitidos em claro
46
Protocolos de Aplicação
SMTP (Simple Mail Transfer) Protocolo utilizado para transferir mensagens de correio eletrônico Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Dados transmitidos em claro Autenticação fraca
47
Protocolos de Aplicação
SMTP HELO <transmissor> MAIL FROM:<remetente> RCPT TO:<destinatário> DATA QUIT
48
Protocolos de Aplicação
POP (Post Office Protocol) Permite recuperar mensagens em sistemas de arquivos remotos (servidor de ) Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Exige autenticação Nome e senha transmitidos em claro Dados transmitidos em claro
49
Protocolos de Aplicação
POP USER <usuário> PASS <senha> LIST RETR <número mensagem> DELE <número mensagem> QUIT
50
Protocolos de Aplicação
Soluções Possíveis Uso de criptografia! Uso de serviços seguros
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.