Post on 18-Apr-2015
Slide 1
Segurança
Aula 04
Ataques Camada 2
Mauro Mendes – mar/2014
Slide 2
1-FísicaAcesso à Rede
2-Enlace
Internet3-Rede
Transporte4-Transporte
5-Sessão
6-Apresentação Aplicação
7-Aplicação
TCP/IPOSI
Camadas Arquiteturas de Rede
Slide 3
Transmissão usando Roteamento direto (mesma Rede) Com Hubs
Hub
Rede externa
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
http://10.0.0.2/index.htm
01-01-01-01-01-01,01-01-01-01-01-02
10.0.0.1,10.0.0.2
1032,80 (Portas) Seq=100
Get index.htm (Método Http)
Camada de Enlace
Internet (Interede,Rede)
Transporte
Aplicação
Montando o pacote (P1) para transmissão
Hub-trabalha na camada física
Recebe um sinal elétrico e replica-o em todas as suas portas.
Como B sabe que a transmissão é prá ele?
P1
P1 P1
P1
Slide 4
Transmissão usando Roteamento direto (mesma Rede) Com Hubs
Hub
Rede externa
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
http://10.0.0.2/index.htm
01-01-01-01-01-01,01-01-01-01-01-02
10.0.0.1,10.0.0.2
1032,80 (Portas) Seq=100
Get index.htm (Método Http)
Camada de Enlace
Internet (Interede,Rede)
Transporte
Aplicação
Montando o pacote (P1) para transmissão
Quem se preocupa com as camadas de enlace, rede, transporte e aplicação nesta transmissão?
P1
P1 P1
P1
Slide 5
Transmissão usando Roteamento direto (mesma Rede) Com Switches
Rede externa
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
http://10.0.0.2/index.htm
01-01-01-01-01-01,01-01-01-01-01-02
10.0.0.1,10.0.0.2
1032,80 (Portas) Seq=100
Get index.htm (Método Http)
Enlace
Internet
Transporte
Aplicação
Montando o pacote (P1) para transmissão
P1 P1
Tabela de Portas Switch
0=01-01-01-01-01-01 1=01-01-01-03-04-05 2=01-01-01-01-01-02 3=01-01-01-03-04-07
Slide 6
Transmissão usando Roteamento direto (mesma Rede) Com Switches
Rede externa
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
http://10.0.0.2/index.htm
01-01-01-01-01-01,01-01-01-01-01-02
10.0.0.1,10.0.0.2
1032,80 (Portas) Seq=100
Get index.htm (Método Http)
Enlace
Internet
Transporte
Aplicação
Montando o pacote (P1) para transmissão
P1 P1
Tabela de Portas Switch (CAM)
0=01-01-01-01-01-01 1=01-01-01-03-04-05 2=01-01-01-01-01-02 3=01-01-01-03-04-07
Quem se preocupa com as camadas de enlace, rede, transporte e aplicação nesta transmissão?
CAMContent-addressablememory
Slide 7
Tranmisssão usando Switches
AC
Host A Ip 10.0.0.1 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2 Mac 01-01-01-01-01-02
Rede 10.0.0.0
P2
Tabela de Portas Switch
P3P1
Porta Mac
P1 01-01-01-01-01-01
P2 01-01-01-01-01-02
P3 01-01-01-01-01-03
A tabela de portas do Switch inicialmente está vazia
A partir das transmissões, o Switch vai montando a tabela com base nas informações dos endereços MAC DE ORIGEM dos quadros (frames)
Esta tabela é usada para encaminhar os quadros para as portas específicas dos Hosts de destino
B
Host C Ip 10.0.0.3 Mac 01-01-01-01-01-03
Slide 8
ARP (Address Resolution Protocol-Protocolo de Resolução de Endereços)
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01
Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
Ping 10.0.0.2
Enlace Origem Enlace Destino IP Origem IP destino
P1 P1
Para fazer a transmissão do pacote de A para B, os endereços de origem de enlace e rede são obtidos da própria configuração da máquina
Enlace Rede
01-01-01-01-01-01,01-01-01-01-01-02 10.0.0.1 10.0.0.2
Para montar o endereço de destino da camada de rede, essa informação pode ser obtida da aplicação (ping no exemplo) em execução.
Mas e o endereço de enlace de destino, como obtê-lo?
Slide 9
Requisição ARP (Address Resolution Protocol)
A B
Host A Ip 10.0.0.1/255.0.0.0 Mac 01-01-01-01-01-01Host B Ip 10.0.0.2/255.0.0.0 Mac 01-01-01-01-01-02
Rede 10.0.0.0
Enlace Origem Enlace Destino Protocolo IP Origem IP destino
P1 P1
Enlace Rede
01-01-01-01-01-01,FF-FF-FF-FF-FF-FF 08-06 10.0.0.1 10.0.0.2
01-01-01-01-01-02,01-01-01-01-01-01 08-06 10.0.0.1 10.0.0.2
01-01-01-01-01-01,01-01-01-01-01-02 08-00 10.0.0.1 10.0.0.2
ARP-Pergunta
Pacote
ARP-Reply
ARP-Pergunta (Request): Mensagem de Broadcast para todos as máquinas da Rede perguntando pelo endereço MAC (enlace) de um determinado endereço IP
Para evitar novos broadcasts a informação descoberta é guardada no
Cache do ARP
Ping 10.0.0.2
Slide 10
O switch mantém uma tabela com os MAC’s conectados a ela,relacionando-os com a porta que foram “aprendidos”.
Quando um MAC não existe na tabela, ele é procurado em todas as portas, comportando-se a switch como um HUB.
O espaço (Host table ou CAM table) é limitado e quando preenchidoTotalmente, faz com que o switch comporte-se como um HUB ! (????) ou simplesmente TRAVE.
SWITCHING
Slide 11
MAC Flooding: Inundação (Flooding) da Tabela de Hosts
Ataques de Camada 2
ARP Poisoning: Envenenamento do Cache do ARP
Denial of Service (DoS) : Negação de Serviço
Slide 12
O ataque não causa DoS, mas uma vez lotada a CAM (Content-addressable memory), o Switch comporta-se como HUB
Quando os switches comportam-se como Hubs, qualquer máquina com um Sniffer instalado pode capturar todos os pacotes que passam na rede.
Softwares como CAIN & ABEL podem capturar senhas dos usuários
Inundação (Flooding) da Tabela de Hosts dos Switches
MAC Flooding
Slide 13
ARP POISONING
Envenenamento do Cache do ARP
Também conhecido como ARP Spoofing (falsificação do cache ARP)
É o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle (MITM), que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas
Slide 14
ARP Poisoning
C
Host A Ip 10.0.0.1 Mac 01-01-01-01-01-01
Host C Ip 10.0.0.3 Mac 01-01-01-01-01-03
P1
A
P2 P3
Cache ARP
IP Mac
10.0.0.1 01-...-01
(X Entrada excluída)
10.0.0.1 01-...-02
Entrada falsificada pelo Host B
Tabela de Portas
P1=01-01-01-01-01-01
P2=01-01-01-01-01-02
P3=01-01-01-01-01-03
Resposta ARPResposta ARP
IP 10.0.0.3 tem o Mac 01-01-1-01-01-02
IP 10.0.0.1 tem o Mac 01-01-1-01-01-02
Cache ARP
IP Mac
10.0.0.3 01-...-03
(X Entrada excluída)
10.0.0.3 01-...-02
Entrada falsificada pelo Host B
Host B envenenando o Cache do ARP dos Hosts A e C
B
O atacante, host B, envia uma resposta ARP para dizer ao Host A que o IP de C pertence ao seu endereço MAC.
Outra resposta ARP é enviada ao Host C, dizendo que o IP de A pertence ao endereço MAC de B.
Os hosts A e C aceitam a resposta ARP e ficam com o cache do ARP falsificado
Slide 15
Arp Poisoning Resultado da falsificação do Cache
A C
Host A Ip 10.0.0.1 Mac 01-01-01-01-01-01
Host C Ip 10.0.0.3 Mac 01-01-01-01-01-03
P1
B
P2
P3
Cache ARP
IP Mac
10.0.0.3 01-...-02
Cache ARP
IP Mac
10.0.0.1 01-...-02
01-01-01-01-01-01, 01-01-01-01-01-02
10.0.0.1 10.0.0.3
Tabela de Portas
P1=01-01-01-01-01-01
P2=01-01-01-01-01-02
P3=01-01-01-01-01-03
Para transmitir o quadro acima, o Switch identifica que o endereço Mac destino é 01-01-01-01-01-02 (falsificado pelo Host B) e, consultando a tabela de portas, envia o quadro para a porta 2.
Ou seja, as mensagens de A para C irão para o Host B. Idem para as mensagens de C para A.
O Host B recebe a mensagem de A-> C, mas depois ele a transmite para o Host C, caso contrário a comunicação teria problemas e seria apenas um ataque DOS (Denial of Service)
Quadro do Host A para o Host C
Host B (Atacante) Ip 10.0.0.2 Mac 01-01-01-01-01-02
Slide 16
ARP Poisoning (Consequências)
-Qualquer mensagem não criptografada pode ser capturada por um atacante, basta usar um Sniffer
-Um Sniffer é um software que captura pacotes que passam pela Rede
-Um Sniffer excelente e freeware é o Wireshark, que possui versões tanto Windows como Linux
-Pode-se capturar senhas, tráfego de voz (eavesdropping). Se o tráfego não estiver criptografado, o ataque é facílimo, há softwares específicos como Caim e Abel que permitem isso
Links sobre captura de tráfego de voz na rede usando Arp Poisoning
http://www.madeira.eng.br/wiki/index.php?page=Seguran%C3%A7a+em+Redes+de+Voz+Sobre+IP
Slide 17
ARP Poisoning
•Configurar Mac Binding nos switches, cadastrando em cada porta do switch a lista de MAC's que podem ser conectadas a essa porta
•Ferramentas de detecção de ARP Poisoning, como o arpwatch
•Uso VLANs reduz a aplicação de Arp Spoofing: Pode-se, por exemplo, isolar o segmento de voz do segmento de dados
•O uso de criptografia é essencial em transmissão de dados sigilosos, ela não evita o Arp spoofing, mas reduz os seus efeitos
Recomendações para evitar o Ataque:
Slide 18
1. Selecione a Aba Superior Sniffer
2. Use o menu Configure para selecionar a placa de rede
3. Use a ferramenta para start do Sniffer
4. Use a ferramenta + para pesquisar os Hosts
EXEMPLO ARP POISONING C/ O SOFTWARE CAIN
6. Selecione a opção APR para configurar os Hosts a serem atacados
5. Selecione o intervalo de endereços Ips para pesquisar com o Mac Address Scanner
Slide 19
7. Clique nesta janela
8. Use a ferramenta + para adicionar hosts vítimas do ataque
10. Iniciar o envenenamento do ARP
9. Selecione na janela esquerda a primeira vítima e na janela direita a segunda vítima
Slide 20
11. Selecionar a opção Descobrir Senhas (Password)
12. Vítima digitando do google e yahoo
13. Recebendo a captura das senhas
Slide 21
Um hacker pode facilmente associar um endereço IP operacional a um endereço MAC falso.
Para tanto, um hacker pode enviar uma resposta ARP associando o endereço IP do roteador da rede com um endereço MAC que não existe.
Resultado: Os Hosts acreditam que sabem onde o gateway padrão está, mas na realidade todos os pacotes que estão enviando para aquele destino não vão para a rede local, mas sim para um grande buraco negro.
Com pouco trabalho, o hacker conseguiu separar a rede da Internet.
Denial of ServiceDenial of Service