1 ATAQUES NA REDE USO DE PROTOCOLOS Erika Medeiros.

Download 1 ATAQUES NA REDE USO DE PROTOCOLOS Erika Medeiros.

Post on 07-Apr-2016

216 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

<ul><li><p> ATAQUES NA REDEUSO DE PROTOCOLOSErika Medeiros</p></li><li><p>Objetivos:Montar uma plataforma de roubo de sesses</p><p>Roubo de sesso e alterao de emails (POP3)</p><p>Desvio de sesses HTTP e HTTPS para um servidor forjado, adulterando o servio DNS</p><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoning numa rede baseada em comutadores</p></li><li><p>Conceitos tericosAmeaas de segurana</p><p>Mtodos de ataque</p><p>Defesas</p></li><li><p>Ameaas de segurana:IntegridadeAdulterao dos dadosConfidencialidadePermitir a visualizao dos dadosAutenticaoGarantir a origem dos dadosNegao de servio (DOS)Incapacitar o servio</p></li><li><p>Mtodos de ataque:ARP spoofingEnvia pedidos e respostas arp previamente criadas.</p><p>ARP poisoningEnvia para uma determinada estao tramas arp adulteradas de forma a colocar-se no meio de qualquer comunicao que essa estao tente efetuar.</p></li><li><p>Mtodos de ataque:MAC FloodingConsiste em inundar o switch com muitos quardros arp de forma a que o switch no as consiga processar, e ser obrigado a repetir os quadros recebidos para todos as portas. Este outro mtodo de sniffing. uma tcnica de ARP-Poisoning voltada para switchs de rede. Quando alguns switchs so sobrecarregados eles frequentemente passam a funcionar no modo hub;No modo hub, o switch est ocupado demais para reforar a segurana de suas portas e apenas faz o broadcast do trfego;Atravs da sobrecarga (flooding) da tabela ARP do switch com toneladas de respostas ARP falsas, um hacker pode sobre carregar muitos switchs usados atualmente e ento sniffar os pacotes da rede enquanto o switch funciona no modo hub;</p></li><li><p>Mtodos de ataque:DNS spoofingAlterao o DNS reply que suposto vir do verdadeiro DNS server, e assim enganar o cliente</p></li><li><p>Mtodos de ataque:Denial of service (DOS)Atualizando as tabelas MAC/IP com endereos MAC no existentes, faz com que os pacotes sejam descartados. Se isto for feito em todos os clientes da rede, vai provocar um ataque do tipo denial of service. </p></li><li><p>Simulao prtica</p></li><li><p>EttercapPermite a injeo de caracteres numa conexo estabelecidaSuporta SSH v1Suporta HTTPSPermite o uso de PluginsColetor de passwords para vrios protocolosPermite filtrar pacotes, alterando-os ou descartando-osPermite terminar uma conexoPermite realizar scanning passivo da LANPermite verificar a existncia de outros poisoners na rede</p></li><li><p>EttercapAo iniciar o ettercap, ele envia ARP requests para todos os endereos da rede onde se encontra</p></li><li><p>EttercapAqui podemos observar as possveis vitimas do ettercap</p></li><li><p>Man-in-the-midle AttackInicialmente, as estaes tem as suas tabelas MAC/IP com as seguintes entradasPara a estao B se colocar no meio, envia pacotes arp adulterados para A e C dizendo que endereo IP de C e de A est associado ao seu endereo MAC</p><p>Switch</p><p>A</p><p>B</p><p>C</p></li><li><p>Man-in-the-midle AttackDepois da estao B ter feito o ataque, se a estao A quiser enviar um pacote para estao C ou vice-versa, os pacotes passam pela estao B que s tem que encaminhar os pacotesA estao B pode ver o contedo dos pacotes ou at mesmo altera-los </p><p>Switch</p><p>A</p><p>B</p><p>C</p></li><li><p>Plataforma de simulao:BrowserCliente de mail</p><p>Servidor de Mail (Solid-POP3d)Servidor Web com SSL(Apache-ssl)OpenSSLEttercapOpenSSL</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Alterao de emails (POP3)-O MITM coloca-se entre o cliente e o servidor (ARP poisoning)-Escuta utilizador e respectiva password de cada sesso-Alterao de emails-Insero de comandos para o servidor e/ou respostas para o cliente-Terminar sesso com o cliente e/ou servidor</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor de mail</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Alterao de emails (POP3)Comeamos por enviar um email para o servidor de mail</p></li><li><p>Alterao de emails (POP3)Podemos ver esse mail com o ettercap</p></li><li><p>Alterao de emails (POP3)Consegue-se ver as sesses em cursoCom o colector de passwords ligado, podemos ver o user e a respectiva password</p></li><li><p>Alterao de emails (POP3)Carregando em enter, pode-se ver os dados que so trocados entre o cliente e o servidorPode-se ver o protocolo e o tipo de aplicao possvel simular pedidos para o cliente ou respostas do servidor</p></li><li><p>Alterao de emails (POP3)Configurando o filtro para substituir a palavra Pedro por Gilberto</p></li><li><p>Alterao de emails (POP3)Podemos verificar que o email foi adulterado, e o cliente no se apercebe que o email que est lendo foi alterado</p></li><li><p>Alterao de emails (POP3)Roubo de sessoO MITM termina sesso TCP com o cliente e continua sesso com o servidor, e vice-versa</p><p>Como o ettercap permite obter o nome de utilizador e a correspondente password, torna-se mais simples iniciar outra sesso do que terminar sesso com o cliente</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)1. O ettercap coloca-se no meio entre o cliente e qualquer outra estao de forma a captar as suas comunicaes</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor Forjado</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)2. O cliente faz um DNS request querendo saber o endereo IP do site www.google.pt, e assim que o DNS server responder, o ettercap detecta essa resposta e altera o endereo IP da resposta para o endereo IP do servidor forjado</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor Forjado</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)3. Assim que o cliente recebe o DNS reply, faz o pedido de pgina web ao servidor forjado.O MITM pode continuar no meio ou no. Se sim, no caso de usar https, o certificado que o cliente vai receber, ser o do MITM. Se no, recebe o do servidor forjado.</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor Forjado</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)Configurao do ficheiro /etc/ettercap/etter.dns################################# microsoft sucks ;)# redirect it to www.linux.org#</p><p>198.182.196.56microsoft.com198.182.196.56*.microsoft.com198.182.196.56www.microsoft.com</p><p>172.16.1.22cgd.pt172.16.1.22*.cgd.pt172.16.1.22www.cgd.pt</p><p>172.16.1.22google.pt172.16.1.22*.google.pt172.16.1.22www.google.pt</p><p>################################Todos os pedidos DNS que sejam do domnio microsoft.com, vo ser retribudos com o endereo IP do site www.linux.orgTodos os pedidos DNS para o domnio google.pt, recebe como resposta o endereo IP do servidor forjado</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)Necessrio ativar o plugin que possibilita o DNS spoofing</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)DNS request para www.google.ptPedido de pagina web ao servidor forjado</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)O cliente pensa que pgina a original, mas apenas uma rplica que foi enviada pelo servidor forjado</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)O browser d um alerta, avisando que no conhece a autoridade de certificao Se o utilizador pedir para memorizar este certificado, o browser no volta mais a perguntarSe continuar, porque aceita o certificado, (pior do que no estar seguro, pensar que est seguro)</p></li><li><p>Desvio de sesso http e https para um servidor forjado (DNS spoofing)Certificado verdadeiroCertificado forjado</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoning1.O MITM coloca-se entre o cliente e o servidor ou entre o cliente e a gateway se o servidor no estiver na mesma rede</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor web</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoning2.Quando uma sesso https, o MITM recebe o certificado do servidor e envia o seu certificado com a sua chave pblica para o cliente</p><p>Switch</p><p>Internet</p><p>Man in the midle</p><p>Cliente</p><p>Servidor web</p><p>www.google.pt server</p><p>DNS server</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoningAtivando o filtro, para substituir a palavra google por goodle</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoningVerifica-se a troca de google por goodle</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoningO ettercap envia o seu certificado como sendo o do servidor, o browser detecta que o certificado expirou, ou que no reconhece a CA.Se o cliente ignorar este aviso, e continuar, pensar que est se comunicando com o servidor fidedigno, mas na realidade no est.</p></li><li><p>Roubo de sesses HTTP e HTTPS e alterao de pginas HTML recorrendo a MAC poisoningApesar de ser uma sesso https, a pgina original foi alterada pelo atacante</p></li><li><p>DefesasA melhor defesa contra o ARP spoofing, permitir o MAC binding no switch, ou seja, cada porta do switch est associada a um endereo MAC</p><p>Utilizar static routes, de forma a que no seja possivel a sua alterao;</p><p>Deteo outra forma possvel de defesa, utilizando aplicaes que escutam os ARP replies numa rede, constroem uma tabela IP/MAC, e quando um endereo MAC associado a um IP muda, d um alerta ou envia um email para o administrador</p></li><li><p>Outras aplicaesArpoisonhttp://web.syr.edu/~sabuer/arpoison/Parasitehttp://packetstormsecurity.org/sniffers/parasite-0.5.tar.gzDsniffhttp://www.monkey.org/~dugsong/dsniff/Arpwatchhttp://www.redhat.com/swr/i386/arpwatch-2.1a4-29.i386.html</p></li><li><p>ARPWATCHArpwatch uma das formas de deteco. Arpwatch uma ferramenta para detectar ataques ARP. Monitora atividade ethernet e mantm uma base de dados dos pareamentos Ethernet/IP. </p></li><li><p>ARPWATCHReporta certas alteraes via e-mail. Arpwatch utiliza a libcap, uma interface independente que utiliza um mtodo de captura de pacotes no nvel de usurio para deteco de ataques ARP. O Arpwatch mantm o administrador informado quando uma nova mquina adquire um endereo da rede. Envia por e-mail o endereo IP e o MAC da nova mquina na rede. Informa se o endereo MAC mudou de IP. Informa se algum est mexendo com a configurao da rede e alterando seu seu IP para o de um gateway ou servidor. </p></li><li><p>Entendendo as mensagens ARPWATCHnew activity Esse par de endereo MAC e endereo IP j foi utilizado a seis meses ou mais. new station Esse endereo ethernet (MAC) nunca foi visto antes. flip flop O endereo ethernet foi foi alterado do primeiro mais recente para o segundo mas recente. changed ethernet address O Host mudou para um novo endereo ethernet (MAC) </p></li><li><p>Exemplos de mensagens ARPWATCHMSG1: Arpwatch detecta a mudana do PAR MAC/IP Subject: changed ethernet address hostname: ip address: 192.168.0.3 ethernet address: 0:11:25:8a:87:9b ethernet vendor: IBM Corporation old ethernet address: 0:10:c6:b9:68:f5 old ethernet vendor: USI timestamp: Friday, January 4, 2008 11:16:06 -0300 previous timestamp: Friday, January 4, 2008 11:16:06 -0300 delta: 0 seconds </p></li><li><p>Exemplos de mensagens ARPWATCHMSG2: Arpwatch detecta que o par est oscilando, caracterstica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vrios outros como MAC errado. Subject: flip flop hostname: ip address: 192.168.0.3 ethernet address: 0:10:c6:b9:68:f5 ethernet vendor: USI old ethernet address: 0:11:25:8a:87:9b old ethernet vendor: IBM Corporation timestamp: Friday, January 4, 2008 11:16:22 -0300 previous timestamp: Friday, January 4, 2008 11:16:21 -0300 </p></li><li><p>Exemplos de mensagens ARPWATCHMSG3: Arpwatch detecta que o par est oscilando, caracterstica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vrios outros como MAC errado. Subject:flip flop hostname: ip address: 192.168.0.3 ethernet address: 0:11:25:8a:87:9b ethernet vendor: IBM Corporation old ethernet address: 0:10:c6:b9:68:f5 old ethernet vendor: USI timestamp: Friday, January 4, 2008 11:16:31 -0300 previous timestamp: Friday, January 4, 2008 11:16:22 -0300 </p></li><li><p>ConclusesEstes tipos de ataque requerem um bom conhecimento do funcionamento da rede a atacar.Um administrador de uma rede no pode saber menos que o atacante, se quiser defender a sua rede necessrio controlar este tipo de ataque (MITM), pois permite ver todo o trfego que circula num determinado segmento de redeComea a ser imprescindvel o uso de ferramentas na prpria estao que permitam controlar as tabelas MAC/IP e verificar se existe alguma duplicidade de entradas na tabela que possam induzir a este tipo de ataque (MITM)</p></li><li><p>QUESTES?</p></li><li><p>Exemplo de um ARP Spoofing</p></li><li><p>Rede do exemploO lab consiste dos seguintes computadores;192.168.1.138 o default gateway;</p></li><li><p>Rede do exemplovtimaMquina de AtaqueDefault Gateway</p></li><li><p>Ipconfig na vtimaIPConfig na mquina 192.168.1.1 considerada a vtima;V-se a tabela ARP;</p></li><li><p>Ettercap iniciadoUsado na mquina 192.168.1.10Deve ser escolhida a placa de rede a ser usada;</p></li><li><p>Ettercap iniciadoUm rpido ARP scan realizado na rede com o objetivo de mapea-la;</p></li><li><p>Muitas funes do EttercapA tecla H mostra as funes existentes;</p></li><li><p>FingerPrint de uma mquinaAtravs da seleo de uma mquina (tecla F) na tela principal;</p></li><li><p>Iniciando o spoofingVtima (origem) 192.168.1.1;Vtima (destino) 192.168.1.138;O objetivo escutar todo o trfego que entra e sai da rede (indo e vindo da internet);</p></li><li><p>Iniciando o spoofingPressinando A voc inicia o spoofing;</p></li><li><p>Executando o spoofingChecar o resultado do envenamento;O endereo ARP para 192.168.1.10 (mquina de ataque) e 192.168.1.138 (Default Gateway) se tornaram o mesmo; </p></li><li><p>Executando o spoofing</p></li><li><p>Usando o spoofing para FTPSer aberta uma sesso FTP a partir da mquina atacada;</p></li><li><p>Usando o spoofing para FTPNa tela do Ettercap a sesso FTP foi capturada;</p></li><li><p>Usando o spoofing para FTPMais detalhes da sesso de FTP capturada;</p></li><li><p>Usando o spoofing para HTTPSer substituida uma stream TCP em uma sesso www. Stream original: www.google.com Stream modificado: www.mutsonline.com </p></li><li><p>Usando o spoofing para HTTPF para edio de filtros</p></li><li><p>Usando filtro Replace</p></li><li><p>Tentando usar o google</p></li></ul>