Slide 05

Curso: Tecnologias de Informação
3º Ano, 1º Semestre
Cadeira: Segurança de Redes
Docente: Sandro Monteiro, M.IT
E-mail: sandro.monteiro@hotmail.com
Data: 19/04/2021
Slide: 05
Métodos de ataques à rede
2
Métodos de ataques à rede
Assim como existem diferentes categorias de ataques em redes, há
várias maneiras de executar esses ataques.
Métodos de ataque de rede podem ser baseados em:
a) Protocolo (protocol-based); e
b) Sem fio (wireless).
3
Métodos de ataques de rede
a) Protocol-Based Attacks
O direcionamento de vulnerabilidades aos protocolos de rede é um dos
métodos mais comuns de ataque, porque a fraqueza é inerente ao
próprio protocolo.
Pode ser mais difícil de se defender deste tipo de ataques porque está
embutido na comunicação.
Qualquer rede ou sistema que use este protocolo é vulnerável a esses
ataques, aumentando significativamente o número de possíveis
vítimas.
Alguns dos ataques mais comuns baseados em protocolos são ataques
de:
❖Protocolos antiquados (antiquated protocols);
❖Ataques DNS (DNS attacks);
❖Envenenamento por ARP (ARP poisoning); e
❖Sequestro de TCP/IP (TCP/IP hijacking).
I. Protocolos Antiquados (Antiquated Protocols)
O conjunto de protocolos mais comum usado atualmente para redes e
para a Internet é o TCP/IP (Transmission Control Protocol/Internet
Protocol), um "conjunto" de protocolos, composto por vários
protocolos relacionados que funcionam juntos.
Com o tempo, os protocolos TCP/IP foram actualizados com frequência
para solucionar vulnerabilidades de segurança. Se versões menos
seguras dos protocolos são usadas, elas fornecem uma via para o
ataque.
Um exemplo de protocolo actualizado é o SNMP (Simple Network
Management Protocol), foi introduzido pela primeira vez em 1988 e é
suportado pela maioria dos fabricantes de equipamentos de rede.
SNMP é :
• Um protocolo popular usado para gerenciar equipamentos de
rede;
• Usado para trocar informações de gerenciamento entre
dispositivos em rede;
• Permite que os administradores de sistema monitorem, gerenciem
e configurem remotamente dispositivos na rede.
O SNMP pode ser encontrado:
• Não apenas nos dispositivos principais da rede, como
comutadores, roteadores, hubs, pontes e pontos de acesso sem
fio; mas também
• É encontrado em algumas impressoras, copiadoras, aparelhos de
fax e até fontes de alimentação ininterruptas (UPSs).
• Cada dispositivo gerenciado por SNMP deve ter um agente ou
serviço que escute os comandos e os execute.
Esses agentes são protegidos com uma senha, denominada community
string, para impedir que usuários não autorizados controlem um
dispositivo.
Existem dois tipos de community string :
• Read-only string: permitirá que as informações do agente sejam
exibidas; e
• Read-write string: permite que as configurações do dispositivo
sejam alteradas.
O uso de community strings nas duas primeiras versões do SNMP,
SNMPv1 e SNMPv2, criou várias vulnerabilidades:
1º Default SNMP community strings para read-only e read-write
eram públicas e privadas, respectivamente. Os administradores que
não alteraram essas default strings deixaram a possibilidade de um
invasor assumir o controle do dispositivo de rede;
2º Community strings eram transmitidas como texto não
criptografado, sem nenhuma tentativa de criptografar o conteúdo.
Um invasor com protocol analyzer poderia visualizar o conteúdo das
strings como estavam sendo transmitidas.
Devido às vulnerabilidades de segurança do SNMPv1 e SNMPv2, o
SNMPv3 foi introduzido em 1998.
O SNMPv3 usa nomes de usuário e senhas juntamente com criptografia
para impedir a tentativa do invasor de exibir o conteúdo.
No entanto, por muitos anos após a introdução do SNMPv3, as
organizações usaram o SNMPv1 e o SNMPv2 com dispositivos de rede
mais antigos, aumentando assim o risco de ataque.
Protocolos antiquados, como SNMPv1 e SNMPv2, são alvos populares
para invasores.
II. DNS Attacks
O antecessor da Internet de hoje era uma rede conhecida como
ARPAnet.
Essa rede foi concluída em 1969 e conectou, com uma conexão de 50
Kbps, computadores individuais localizados em cada um dos quatro
sites diferentes:
• Universidade da Califórnia em Los Angeles;
• Instituto de Pesquisa Stanford;
• Universidade da Califórnia em Santa Barbara; e
• Universidade de Utah.
II. DNS Attacks
No entanto, à medida que computadores adicionais foram adicionados
à rede, tornou-se mais difícil para os humanos recordar com precisão o
número de identificação de cada computador.
O que era necessário era um sistema de nomes que permitisse aos
computadores de uma rede atribuírem endereços numéricos e nomes
legíveis por seres humanos mais amigáveis, compostos por letras,
números e símbolos especiais (chamados de symbolic name).
II. DNS Attacks
No início da década de 1970, cada site começou a atribuir nomes
simples a dispositivos de rede e também a gerenciar sua própria host
table, que listava os mapeamentos de nomes para números de
computadores.
No entanto, como cada site tentou manter sua própria host table local,
isso resultou em várias inconsistências entre os sites.
Uma standard master host table foi criada e podia ser baixada em cada
site.
II. DNS Attacks
Quando o TCP / IP foi desenvolvido, o conceito de host table foi
expandido para um sistema de nomes hierárquicos conhecido como
Domain Name System (DNS), que é a base para a resolução de nomes
para endereços IP de hoje.
O DNS é frequentemente o foco de ataques. Esses ataques incluem:
a. DNS poisoning (Envenenamento de DNS); e
b. DNS transfers (transferências de DNS).
II. DNS Attacks
a. DNS poisoning (Envenenamento de DNS) consiste em substituir
um endereço IP fraudulento para que, quando um usuário insira um
nome simbólico, ele seja direcionado ao site de computador
fraudulento. Esta substituição é ilustrada na Figura 4-9.
II. DNS Attacks
a. DNS poisoning (Envenenamento de DNS)
II. DNS Attacks
A substituição de um endereço IP fraudulento pode ser feita em um
dos dois locais diferentes.
Primeiro, o TCP/IP ainda usa host tables armazenadas no
computador local. Isso é chamado de TCP/IP host table name
system. Typical local host table é mostrada na Figura 4-10.
Quando um usuário digita um nome simbólico, o TCP/IP primeiro
verifica a local host table para determinar se há uma entrada; se não
houver entrada, o sistema DNS externo será usado.
II. DNS Attacks
a. DNS poisoning
(Envenenamento de DNS)
II. DNS Attacks
Os invasores podem alvejar o local host’s file para criar novas
entradas que redirecionarão os usuários para seu site fraudulento,
de modo que, quando um usuário entrar em www.paypal.com , ele
será direcionado ao site semelhante do invasor.
Outra abordagem para substituir um endereço IP fraudulento é
alvejar o external DNS server e é chamado de DNS poisoning
(também chamado de DNS spoofing). Em vez de tentar invadir um
DNS server para alterar seu conteúdo, os invasores usam uma
abordagem mais básica.
II. DNS Attacks
Porque os servidor DNS trocam informações entre si (conhecidos
como zone transfers), os invasores tentam explorar uma falha de
protocolo e convencem o servidor DNS autêntico a aceitar entradas
DNS fraudulentas enviadas do servidor DNS do invasor.
Se o servidor DNS não validar corretamente as respostas DNS para
garantir que elas vieram de uma fonte autorizada, ele armazenará as
entradas fraudulentas localmente, as servirá aos usuários e as
espalhará para outros servidores DNS.
II. DNS Attacks
A Figura 4-11 ilustra o processo de um ataque DNS poisoning de um
invasor que possui um nome de domínio www.evil.net com seu
próprio servidor DNS ns.evil.net :
1. O invasor envia uma solicitação para um servidor DNS válido
solicitando que ele resolva o nome www.evil.net .
2. Como o servidor DNS válido não sabe o endereço, ele solicita o
endereço ao servidor de nomes responsável, que é o ns.evil.net
do invasor.
II. DNS Attacks
3. O servidor de nomes ns.evil.net envia o endereço não apenas
www.evil.net, mas também todos os seus registros (uma zone
transfer) para o servidor DNS válido, que os aceita.
4. Agora, quaiquer solicitações para o servidor DNS válido agora
responderão com os endereços fraudulentos inseridos pelo invasor.
II. DNS Attacks
a. DNS poisoning
(Envenenamento de DNS)
II. DNS Attacks
DNS poisoning pode ser evitado usando as edições mais recentes do
DNS software, BIND (Berkeley Internet Name Domain).
Essas latest editions of software tornam os servidores DNS menos
confiantes nas informações transmitidas a eles por outros
servidores DNS e ignoram os registros DNS recebidos que não são
diretamente relevantes para a consulta.
II. DNS Attacks
Uma versão mais recente e segura do DNS, conhecida como DNSSEC
(Domain Name System Extensions) que usa medidas avançadas para
determinar a autenticidade dos dados ainda não é amplamente
utilizada.
Uma variação de DNS poisoning envolve a substituição de um false
MX (mail exchange). Isso resulta em todos os emails enviados ao
invasor.
II. DNS Attacks
b. DNS Transfers: é quase o contrário do DNS poisoning.
Em vez de enviar uma zone transfer para um servidor DNS válido,
um invasor solicita ao servidor DNS válido uma zone transfer ,
conhecida como DNS transfer.
Com essas informações, seria possível ao invasor mapear toda a
rede interna da organização que suporta o servidor DNS.
Geralmente, uma zone transfer pode conter informações de
hardware e sistema operacional para cada dispositivo de rede,
fornecendo ao invasor informações ainda mais valiosas.
III. ARP Poisoning
O TCP/IP requer que endereços IP lógicos sejam atribuídos a cada host
em uma rede.
No entanto, uma LAN Ethernet usa o endereço MAC físico para enviar
pacotes.
Para que um host usando TCP/IP em uma rede Ethernet encontre o
endereço MAC de outro dispositivo, ele usa o ARP (Address Resolution
Protocol).
III. ARP Poisoning
Se o endereço IP de um dispositivo for conhecido e o endereço MAC
não, o computador remetente enviará um pacote ARP para todos os
computadores no rede que diz: "Se este for seu endereço IP, envie-me
seu endereço MAC".
O computador com esse endereço IP envia de volta um pacote com o
endereço MAC para que o pacote possa ser endereçado corretamente.
Este endereço IP e o endereço MAC correspondente são armazenados
em um cache ARP para referência futura.
III. ARP Poisoning
Semelhante ao DNS poisoning, um invasor pode alterar o endereço
MAC no cache do ARP para que o endereço IP correspondente aponte
para um computador diferente, conhecido como ARP poisoning.
Os resultados de um ARP poisoning estão listados na tabela do slide
seguinte.
III. ARP Poisoning
Resultado Descrição
Roubar dados Um invasor pode substituir seu próprio endereço MAC e roubar
dados destinados a outro dispositivo.
MAC flooding (Inundação MAC) Substituindo o endereço MAC do switch, um invasor pode inundar
o switch com pacotes e forçá-lo a reverter para um hub, a fim de
usar um analisador de protocolo para visualizar todo o tráfego.
Impedir o acesso à Internet Um invasor pode substituir por um endereço MAC inválido de um
gateway de rede para que nenhum usuário possa acessar redes
externas.
Man-in-the-middle Um dispositivo intermediário (man-in-the-middle) pode ser
configurado para receber todas as comunicações substituindo o
endereço MAC.
III. ARP Poisoning
O ARP poisoning pode ser facilmente realizado. Por exemplo, para
realizar um ataque ARP poisoning man-in-the-middle attack para
visualizar todos os dados entre o Computador A (endereço IP
192.168.0.129) e o roteador que se conecta à Internet (192.168.0.1),
um invasor executa os seguintes passos:
1. Envie uma resposta ARP mal-intencionada (embora não tenha sido
solicitada) ao roteador para associar o endereço MAC do computador
ao IP 192.168.0.129 (o roteador agora vê o computador do invasor
como Computador A).
III. ARP Poisoning
2. Envie uma resposta ARP mal-intencionada ao Computador A,
associando seu Endereço MAC a 192.168.0.1 (o Computador A vê o
computador do invasor como o roteador).
3. Abilita o operating system feature IP forwarding que permite ao
computador do invasor encaminhar qualquer tráfego de rede recebido
do computador A para o roteador real.
Sempre que o Computador A se conectar à Internet, o tráfego de rede
é enviado primeiro ao computador do invasor e depois encaminhado
ao roteador real.
III. ARP Poisoning
Como o invasor está encaminhando tráfego para o roteador, o usuário
não sabe que todo o tráfego está sendo interceptado.
IV. TCP/IP Hijacking
TCP/IP hijacking tira proveito de uma fraqueza no protocolo TCP/IP.
Para identificar pacotes TCP, o cabeçalho TCP consiste em dois campos
de 32 bits que são usados como contadores de pacotes.
Esses campos Sequence Number e Acknowledgment Number são
actualizados à medida que os pacotes são enviados e recebidos entre
dispositivos.
Como os pacotes podem chegar fora de ordem, o dispositivo receptor
armazenará todos os pacotes com sequence numbers mais altos do
que os que já foram recebidos (supondo que esse pacote tenha
chegado antes de outro pacote) e eliminará todos os pacotes com
sequence numbers mais baixos.
Se ambos remetente e o destinatário tiverem sequence numbers
incorretos, a conexão será interrompida.
Em um ataque TCP/IP hijacking, o atacante cria pacotes TCP fictícios
("falsificados") para tirar proveito dos pontos fracos.
As etapas em um TCP/IP hijacking são ilustradas na Figura 4-12:
1. Um invasor começa usando um analisador de protocolo para exibir
os sequence numbers e acknowledgment number entre o
Computador A e o servidor, e cria um pacote TCP falsificado que
contém um novo sequence number e o envia ao servidor;
2. O servidor, pensando que o pacote falsificado veio do Computador
A, incrementa o sequence number e responde ao endereço IP do
Computador A;
As etapas em um TCP/IP hijacking são ilustradas na Figura 4-12:
3. O pacote que o computador A recebe agora tem um sequence
number incorreto, portanto, ignora o pacote de resposta;
4. Quaisquer pacotes que o Computador A tentar enviar terão um
sequence number incorreto; portanto, o servidor ignorará mais pacotes
do Computador A;
5. O invasor conecta seu computador à rede usando o endereço IP do
computador A, para que o servidor agora envie e receba pacotes dele,
pensando que é o computador A, confiável.
TCP/IP hijacking é bem-sucedido porque vários protocolos, como FTP
(File Transfer Protocol) e Telnet, não verificam os endereços IP de
origem do dispositivo do qual recebem pacotes.
Quando um dispositivo que usa esses protocolos recebe um pacote
falsificado de um invasor, supõe-se que ele tenha sido recebido de um
dispositivo válido.
Fim!
41

Slide 05

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Slide 05

Enviado por

Direitos autorais:

Formatos disponíveis

Curso: Tecnologias de Informação

Você também pode gostar