A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Intrusão de rede As técnicas utilizadas pelos hackers

Apresentações semelhantes


Apresentação em tema: "Intrusão de rede As técnicas utilizadas pelos hackers"— Transcrição da apresentação:

1 Intrusão de rede As técnicas utilizadas pelos hackers

2 Introdução Os hackers são bem sucedidos porque os deixamos Nesta apresentação iremos falar sobre as diversas técnicas possíveis para adquirir informação sobre a sua rede, e as razões pelas quais estas informação é vital para a segurança da sua rede

3 Vulnerabilidades As vulnerabilidades têm de ser identificadas antes de poderem ser exploradas. Os seguintes pontos têm que ser determinados: – Identificação de sistemas: que máquinas estão activas na sua rede? – Enumeração de serviços: que serviços se encontram a correr nessas máquinas? – Enumeração de utilizadores: quais são os logins (e respectivas passwords) dos utilizadores da sua rede? – Teste de vulnerabilidades: Existe algum serviço vulnerável a um ataque conhecido pelo hacker?

4 Informações genéricas O primeiro passo é o tentar conhecer a empresa em causa, no que diz respeito a: –Serviços oferecidos e parcerias Possíveis relações de confiança entre serviços –Identificação de colaboradores e respectivos interesses profissionais Possíveis fugas de informação no que diz respeito a topologia de rede e software utilizado –Redes e endereços IP alocados Identificação dos alvos

5 Whois - um ponto de partida As bases de dados Whois contêm muita informação –Normalmente são o primeiro passo no processo de aquisição de informação sobre a sua rede e a sua empresa –Cada domínio registado na Internet tem um registo numa destas bases de dados. Estes registos contêm: Nome e endereço da empresa Número de telefone e endereço de do: –contacto técnico –contacto administrativo –contacto financeiro

6 Whois - continuação Existem diversas bases de dados Whois. Diferentes bases de dados possuem informação sobre diferentes domínios –whois.networksolutions.com:.com,.net,.org,.edu –whois.nic.gov:.gov –whois.nic.mil:.mil –whois.ripe.net: domínios europeus As bases de dados Whois podem ser pesquisadas através do comando whois, e podem também utilizadas para a obtenção de informação sobre redes e/ou endereços IP.

7 Whois - um exemplo whois -h whois.ripe.net vitima inetnum: netname: VITIMA descr: Vitima, Serviços de Informatica S.A. country: PT admin-c: TAC3-RIPE tech-c: JTR1-RIPE tech-c: JPT16-RIPE status: ASSIGNED PA mnt-by: AS9186-MNT changed: source: RIPE

8 Whois - um outro exemplo whois -h whois.ripe.net inetnum: netname: VITIMA descr: Vitima, Serviços Digitais country: PT admin-c: TAC3-RIPE tech-c: JTR1-RIPE tech-c: JPT16-RIPE status: ASSIGNED PA mnt-by: AS9186-MNT changed: source: RIPE

9 Domain Name Service - DNS O seu DNS pode estar a fornecer demasiada informação sobre os seus endereços IP, política de nomeação de sistemas e outros. Os registos de DNS contêm: –Nome e endereço IP das máquinas da sua rede. –Endereço IP dos seus servidores de DNS. –Endereço IP dos seus servidores de SMTP. –Os registos TXT pode conter informação específica sobre o seu equipamento, sistema operativo, versões, etc.

10 DNS - dig O comando dig, é uma ferramenta freeware muito utilizada para querys de DNS: –Obter os name servers do seu domínio: dig ns vitima.pt: ;; ANSWER SECTION: vitima.pt. 17h54m26s IN NS dns1.vitima.pt. vitima.pt. 17h54m26s IN NS dns2.vitima.pt. –Obter os mail servers do seu domínio: dig mx vitima.pt ;; ANSWER SECTION: vitima.pt. 1H IN MX 10 mail.vitima.pt.

11 DNS - Transferências de zona As transferências de zona são feitas pelos servidores de DNS secundários, permitindo-lhes assim terem as suas bases de dados sincronizadas. Se não estiverem protegidas, o hacker pode fazer uma tentativa de transferência de zona, de maneira a ter acesso a toda a base de dados do seu servidor de DNS: –Tentativa de transferência da zona vitima.pt: vitima.pt axfr ; > DiG 8.3 vitima.pt axfr ; (1 server found) ;; Received 0 answers (0 records). ;; FROM: laika.necdum.net to SERVER: ;; WHEN: Fri Feb 16 01:29:

12 DNS - Limitação de informação Através dos registos do seu DNS, o hacker pode ficar a saber sobre todas as suas máquinas. –Uma boa política de segurança é o de manter um servidor de DNS externo, com apenas a informação relativa às máquinas que devem ser acedidas pelo público em geral. O hacker irá tentar descobrir TODAS as máquinas existentes na sua rede. –Quantas mais máquinas o hacker conhecer, maiores são as suas probabilidades de encontrar uma máquina vulnerável. Para descobrir as restantes máquinas, o hacker terá que utilizar técnicas de scanning.

13 Scanning - à procura de máquinas Um método de detecção de máquinas activas numa rede é o de enviar pacotes para todos os endereços IP dessa rede, e analisar quais os que respondem Existem diversos tipos de pacotes que podem ser usados: –Ping - usa pacotes ICMP do tipo 0 e do tipo 8 –Outros pacotes ICMP –TCP connect –TCP Syn –UDP –Outros

14 Recolher informação da sua rede É útil ao hacker conhecer a estrutura da sua rede: –Permite-lhe saber quais os caminhos que os pacotes percorrem dentro da sua rede. –Pode indicar máquinas por trás das firewalls. A política de routing pode ser determinada: –Verificando os caminhos que os pacotes tomam dentro da sua rede o traceroute (tracert em Windos) permite esta verificação –Perguntando directamente aos routers

15 Traceroute Consiste no envio de pacotes com baixos TTLs, e registo dos pacotes de retorno. Com o traceroute, o hacker pode ver quais os caminhos seguidos pelos pacotes dentro da sua rede: traceroute traceroute to ( ), 30 hops max, 38 byte packets 1 gateway.necdum.net ( ) ms ms ms 2 internal ( ) ms ms ms 3 rt-lisboa-1.meganet.pt ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms

16 SNMP - olhando para a sua rede Simple Network Management Protocol - SNMP –Usado para monitorização e administração remota de máquinas. –A maior parte dos routers e switches tem a capacidade de falar SNMP. –Muitas redes não têm os seus equipamentos de rede protegidos contra acessos SNMP. Muitas redes nem sabem da capacidades SNMP dos seus routers e switches, e muito menos das suas configurações por omissão Pode ser utilizado para determinar políticas de routing e topologia de rede.

17 SNMP - snmpnetstat O snmpnetstat faz parte de um conjunto de aplicações de SNMP freeware, e é usado para questionar routers capazes de falar SNMP sobre as suas tabelas de routing snmpnetstat rn Routing tables Destination Gateway Flags Interface default UG if U Null / UG if / UG if / UG if / UG if / U Ethernet / UG if / UG if / U Ethernet0

18 SNMP - defesas Antes de poder usar SNMP, o hacker tem de saber o community name do equipamento –Por omissão, o nome é public O community name é a password do SNMP De maneira a impedir que os hackers possam recolher este tipo de informação, deverá escolher bons community names –I.e, palavras não públicas e difíceis de adivinhar

19 Identificação de serviços Após a identificação das máquinas, o hacker irá agora tentar determinar quais os serviços que se encontram a correr: –Estes serviços são o que o hacker irá tentar atacar. O primeiro passo no processo de identificação de serviços é o port scanning.

20 Port scanning O port scanning consiste no envio de pacotes para portas específicas das máquinas alvo, e na observação das respostas –Existem diferentes tipos de pacotes que podem ser enviados TCP - usando o 3 way TCP handshake. SYN - apenas é enviado o primeiro pacote do 3 way TCP handshake. UDP - na tentativa de se encontrar serviços UDP. Outros.

21 Port scanning - ferramentas Existem inúmeras ferramentas de port scanning de domínio público. Uma das ferramentas mais utilizadas para port scanning é o nmap, da –Suporta várias técnicas para detecção de portas activas –Suporta stealth scans, difíceis de serem detectados –Permite saber qual o sistema operativo que corre na máquina

22 Port scanning - nmap nmap vitima.pt Interesting ports on ( ): (The 2 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 443/tcp open https

23 Determinar o Sistema Operativo Saber qual o Sistema Operativo que corre numa máquina, permite ao hacker procurar vulnerabilidades e exploits específicos. Para determinar o Sistema Operativo, o hacker pode: –Fazer inspecção de banners. –Usar TCP/IP fingerprinting. Esta técnica baseia-se na análise dos pacotes que são devolvidos pela stack TCP/IP da máquina alvo. O nmap suporta técnicas sofisticadas de TCP/IP fingerprinting

24 Determinar o software dos serviços Com a lista de portas activas gerada anteriormente, o hacker irá tentar determinar: –O nome do software. –A sua versão. –O seu Patch Level. Os banners dos serviços muitas vezes indicam este tipo de informação.

25 Determinar o software dos serviços Inspecção de banners é uma técnica que se baseia em analisar a informação retornada pelos serviços. É normalmente feita com um cliente de telnet (ou uma ferramenta semelhante), ligando-se directamente ao serviço. Bons protocolos para esta técnica são o ftp (tcp/21), telnet (tcp/23), smtp (tcp/25) e o http (tcp/80) telnet mail.vitima.pt 25 Connected to mail.vitima.pt. Escape character is '^]'. 220 mail.vitima.pt Microsoft ESMTP MAIL Service, Version: ready at Fri, 16 Feb :46:

26 Determinar o software dos serviços Caso a inspecção de banner se mostre infrutífera, o hacker irá usar outras técnicas: –Através da utilização normal do serviço. Por exemplo, muitos servidores de http retornam o seu nome e versão na página de erro por omissão –O hacker pode ainda determinar o software por outras informações. Por vezes, o facto de se conhecer a versão do sistema operativo pode permitir determinar a versão do software do serviço

27 Vulnerabilidades Depois de determinar o software que corre nos serviços, o hacker irá iniciar o processo de teste de vulnerabilidades. Existem inúmeras bases de dados de vulnerabilidades, organizadas por sistema operativo e versão do software. Caso qualquer um dos serviços encontrados pelo hacker conste destas bases de dados, este irá tentar explorar a vulnerabilidade. –Este é o funcionamento normal dos scanners de vulnerabilidades existentes, como o CyberCop e o ISS –Alguns hackers irão correr estes tipos de scanners, mas outros não, por serem facilmente detectáveis

28 Vulnerabilidades - fontes de informação Sites de segurança –http://www.securityfocus.com/ –http://p.ulh.as/ Mailing lists –Bugtraq –NTSecurity –CERT Contacto directo –IRC –Cons –Sites específicos

29 Vulnerabilidades - tipos Existem diversos tipos de vulnerabilidades: –Remotos vs locais –Elevação de previlégios vs negação de serviço –Erro de programação vs erro de configuração Os mais graves são os que permitem acesso remoto ao sistema, com previlégios de super utilizador. Buffer overflows

30 Vulnerabilidades - leitura e escrita no disco Serviços que permitem a leitura e escrita no disco são os alvos preferenciais dos hackers: –File Transfer Protocol (FTP) –Network File Server (NFS) –System Message Block (SMB) O serviço de Remote Procedure Calls é um alvo frequente: –rpcinfo -p é usado para questionar os serviços de RPC existentes numa máquina

31 Vulnerabilidades - continuação Network File Service (NFS) –Baseado em RPC –showmount -e pode ser usado para determinar se existe algum share a ser partilhado por outras máquinas Windows File Shares (SMB) –snbclient -L -I pode ser usado para determinar se existe algum share SMB a ser partilhado por outras máquinas

32 Vulnerabilidades - serviços de Internet DNS –Existem problema em quase todas as versões do Bind, o servidor de DNS mais utilizado na Internet Mail –Foram célebres os problemas que afligiram o Sendmail desde o seu nascimento HTTP –O IIS e é pródigo em problemas de segurança, sendo conhecidos problemas em: Frontpage extensions Coldfusion Unicode interpretation

33 Vulnerabilidades - exploits Qualquer um dos serviços identificado é uma potencial porta de entrada para o hacker. Existem inúmeras fontes de informação na Internet que distribuem informação sobre as vulnerabilidades existentes nos diversos serviços: –Algumas apenas descrevem a vulnerabilidade, bem como maneiras de se proteger das mesmas. –Outras descrevem a maneira como a vulnerabilidade pode ser explorada (exploit), podendo inclusivé fazer-se acompanhar pelo código fonte do exploit.

34 Informação sobre os seus utilizadores De maneira a poder ter acesso a alguns dos sistemas da sua rede, o hacker irá tentar aceder aos mesmos fazendo-se passar por um dos utilizadores creditados. Existem várias fontes de informação onde pode ser encontrada informação sobre os seus utilizadores: –Motores de procura –News –Endereços de mail Caso esteja activo, o finger pode fornecer muita desta informação.

35 Utilizadores - passwords Depois de ter compilado uma lista de nomes, o hacker irá tentar adivinhar as respectivas passwords. O hacker irá tentar ligar-se a um dos serviços que forneça login, e tentar algumas passwords. Existem inúmeras ferramentas que permitem a automatização deste processo: –Baseados em dicionários - palavras comuns. –Brute force - tentando todas as combinações possíveis. Qualquer serviço que forneça login pode ser atacado por este tipo de ferramenta.

36 Utilizadores - boas passwords De maneira a proteger as suas passwords deste tipo de ataque, deverá –Criar passwords longas (> 7 caracteres). –Criar passwords que contenham letras, números e símbolos. –Criar passwords que não sejam baseadas em palavras conhecidas. Os serviços que fornecem login devem bloquear a conta depois de várias tentativas falhadas. –É assim que funciona o Multibanco

37 Sumário Os hacker necessitam de informação para serem bem sucedidos nas suas tentativas de intrusão. Existem diversas maneiras de eles conseguirem esta informação. Ao negar esta informação aos hacker, está-lhes a negar o acesso à sua rede.


Carregar ppt "Intrusão de rede As técnicas utilizadas pelos hackers"

Apresentações semelhantes


Anúncios Google