O maior inimigo pode ser você! DNS + SSDP + NTP Prevenção ...
Transcript of O maior inimigo pode ser você! DNS + SSDP + NTP Prevenção ...
GTER40 - São Paulo – SP
Grupo de Trabalho de Engenharia e Operação de Redes Dezembro/2015
O maior inimigo pode ser você! DNS + SSDP + NTP
Prevenção é a melhor solução !
Elizandro Pacheco ( Network Education )
Consultor em Redes há 13 anos Ubiqui&®Cer&fiedTrainer
NetworkEduca&on®
Apresentação
Estudarmétodosdeataqueedefesadeumassuntoqueédiscu&dodiariamenteemgruposeredessociais.Fazerumlevantamentodiferenciado,comnúmerosdedisposi&vosrealmentevulneráveisaníveldeBrasil.
Motivação
FontedeASNs:Kp://Kp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
ForamfiltradostodosblocosIPv4delegadosaoBR.ScancomscriptpróprioempythondesenvolvidoscomajudadeUesleyCorrêa(TelecomTreinamentosemConsultoria–RJ)comauxíliodeferramentasadicionais.
Método de Análise
OSSDPéoprotocolobasedouPNP(UniversalPlugandPlay),quetemporobje&vosimplificaraimplementaçãoderedesemcasaseescritóriosatravésdadescobertaautomá&cadeserviçosedisposi&vosnarede.Maisinformações:hbp://www.upnp.org/specs/arch/UPnP-arch-DeviceArchitecture-v1.0.pdf
SSDP – Simple Service Discovery Protocol
Emataquedeamplificação,oSDDPécapazdeamplificarumataquecomtaxassuperioresa30X.Protocolo:UDPPorta:1900
SSDP – Simple Service Discovery Protocol
NTPéumprotocolodesincronizaçãodosrelógiosdedisposi&voseu&lizaUDPparatal.ONTPpermitemanterorelógiodeumdisposi&vocomahorasemprecertaecomgrandeexa&dão.Fonte:hbps://pt.wikipedia.org/wiki/Network_Time_Protocol
NTP - Network Time Protocol
Em ataque de amplificação, o NTP é capaz deamplificar um ataque com taxas superiores a556.9X.Protocolo:UDPPorta:123
NTP – Network Time Protocol
EvitarinputderedesindesejadasemseusservidoresNTPeforwardparaclientescomdes&noaporta123/UDP.Evitaoataque?Maioresinformações:hbp://www.us-cert.gov/ncas/alerts/TA14-013Ahbp://ntp.br
NTP– Prevenção
Domain Name System (DNS) é um sistema degerenciamento de nomes hierárquico edistribuído para computadores, serviços ouqualquer recurso conectado à Internet ou emuma rede privada. Ele baseia-se em nomeshierárquicosepermiteainscriçãodeváriosdadosdigitadosalémdonomedohosteseuIP.
Endereço->IP
DNS - Domain Name System
Em ataque de amplificação, o DNS é capaz deamplificarumataquecomtaxasde28a54X*.Protocolo:UDP/TCPPorta:53
DNS – Domain Name System
EvitarinputderedesindesejadasemseusservidoresDNSeforwardparaclientescomdes&noaporta53/UDP/TCP.Evitaoataque?hbp://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
DNS – Prevenção
- Possobloquearotráfegoparameucliente?
NãofereoMarcoCivil?"III-informarpreviamentedemodotransparente,claroesuficientementedescri&voaosseususuáriossobreasprá&casdegerenciamentoemi&gaçãodetráfegoadotadas,inclusiveasrelacionadasàsegurançadarede;”LEINº12.965,DE23DEABRILDE2014Informações:hbp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
Considerações
Em 93% ( média ) dos ASN’s“menores”, os disposi&vos comdns “aberto” são disposi&vos querodamRouterOS(Mikro@k).FONTE:ScancomNMAPemmaisde30asns.
Considerações – Usuários Mikrotik
- Então,comou&lizar?
1–Diferentementedeoutrosserviços,oservidordednsdomikro&knãopermiteespecificararangeounetworksquepoderão“usufruir”doserviço.
Considerações – Usuários Mikrotik
- Então,comou&lizar?
2–Habilitarafunçãoparapermi&rrequestsremotos,massecer&ficarqueofirewallestará“vigiando”eimpedindoquenenhumarequisiçãodeforadasuaredesejarespondida.
Considerações – Usuários Mikrotik
- Então,comou&lizar?
3(AMelhor)–Nãou&lizaroDNSdoMikro&k.TenhaseupróprioDNSdentrodasuarede.
NÃOEMROUTEROS(MIKROTIK)!
Considerações – Usuários Mikrotik
Disposi&vovulnerávelcom1Mbdeupload.DNS(54x)=1MbX54X48043=2,47TbSSDP(30x)=1MbX30X40119=1,14TbNTP(556x)=1MbX556X82134=43,55Tb
2,47+1,14+43,55=47,16Tb
Visão Geral – Poder de Amplificação
Elizandro Pacheco ( Network Education )
[email protected] Skype: elizandropacheco Fone:+55(48)99144771
Uesley Corrêa ( Network Education )
[email protected] Skype: uesleycorrea
Obrigado!!!