1 / 37

Intrusão de rede

Intrusão de rede. As técnicas utilizadas pelos hackers http://necdum.pt/. Introdução. Os hackers são bem sucedidos porque os deixamos

cato
Download Presentation

Intrusão de rede

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Intrusão de rede As técnicas utilizadas pelos hackers http://necdum.pt/

  2. Introdução • Os hackers são bem sucedidos porque os deixamos • Nesta apresentação iremos falar sobre as diversas técnicas possíveis para adquirir informação sobre a sua rede, e as razões pelas quais estas informação é vital para a segurança da sua rede

  3. Vulnerabilidades • As vulnerabilidades têm de ser identificadas antes de poderem ser exploradas. • Os seguintes pontos têm que ser determinados: • Identificação de sistemas: que máquinas estão activas na sua rede? • Enumeração de serviços: que serviços se encontram a correr nessas máquinas? • Enumeração de utilizadores: quais são os logins (e respectivas passwords) dos utilizadores da sua rede? • Teste de vulnerabilidades: Existe algum serviço vulnerável a um ataque conhecido pelo hacker?

  4. Informações genéricas • O primeiro passo é o tentar conhecer a empresa em causa, no que diz respeito a: • Serviços oferecidos e parcerias • Possíveis relações de confiança entre serviços • Identificação de colaboradores e respectivos interesses profissionais • Possíveis fugas de informação no que diz respeito a topologia de rede e software utilizado • Redes e endereços IP alocados • Identificação dos alvos

  5. Whois - um ponto de partida • As bases de dados Whois contêm muita informação • Normalmente são o primeiro passo no processo de aquisição de informação sobre a sua rede e a sua empresa • Cada domínio registado na Internet tem um registo numa destas bases de dados. Estes registos contêm: • Nome e endereço da empresa • Número de telefone e endereço de email do: • contacto técnico • contacto administrativo • contacto financeiro

  6. Whois - continuação • Existem diversas bases de dados Whois. Diferentes bases de dados possuem informação sobre diferentes domínios • whois.networksolutions.com: .com, .net, .org, .edu • whois.nic.gov: .gov • whois.nic.mil: .mil • whois.ripe.net: domínios europeus • As bases de dados Whois podem ser pesquisadas através do comando whois, e podem também utilizadas para a obtenção de informação sobre redes e/ou endereços IP.

  7. Whois - um exemplo • whois -h whois.ripe.net vitima inetnum: 192.168.1.0 - 192.168.1.127 netname: VITIMA descr: Vitima, Serviços de Informatica S.A. country: PT admin-c: TAC3-RIPE tech-c: JTR1-RIPE tech-c: JPT16-RIPE status: ASSIGNED PA mnt-by: AS9186-MNT changed: xpto@isp.pt 20001009 source: RIPE

  8. Whois - um outro exemplo • whois -h whois.ripe.net 192.168.1.0 inetnum: 192.168.1.0 - 192.168.1.127 netname: VITIMA descr: Vitima, Serviços Digitais country: PT admin-c: TAC3-RIPE tech-c: JTR1-RIPE tech-c: JPT16-RIPE status: ASSIGNED PA mnt-by: AS9186-MNT changed: xpto@isp.pt 20001009 source: RIPE

  9. Domain Name Service - DNS • O seu DNS pode estar a fornecer demasiada informação sobre os seus endereços IP, política de nomeação de sistemas e outros. • Os registos de DNS contêm: • Nome e endereço IP das máquinas da sua rede. • Endereço IP dos seus servidores de DNS. • Endereço IP dos seus servidores de SMTP. • Os registos TXT pode conter informação específica sobre o seu equipamento, sistema operativo, versões, etc.

  10. DNS - dig • O comando ‘dig’, é uma ferramenta freeware muito utilizada para querys de DNS: • Obter os name servers do seu domínio: • dig ns vitima.pt: ;; ANSWER SECTION: vitima.pt. 17h54m26s IN NS dns1.vitima.pt. vitima.pt. 17h54m26s IN NS dns2.vitima.pt. • Obter os mail servers do seu domínio: • dig mx vitima.pt • ;; ANSWER SECTION: vitima.pt. 1H IN MX 10 mail.vitima.pt.

  11. DNS - Transferências de zona • As transferências de zona são feitas pelos servidores de DNS secundários, permitindo-lhes assim terem as suas bases de dados sincronizadas. • Se não estiverem protegidas, o hacker pode fazer uma tentativa de transferência de zona, de maneira a ter acesso a toda a base de dados do seu servidor de DNS: • Tentativa de transferência da zona vitima.pt: • dig @192.168.1.1 vitima.pt axfr ; <<>> DiG 8.3 <<>> @192.168.1.1 vitima.pt axfr ; (1 server found) ;; Received 0 answers (0 records). ;; FROM: laika.necdum.net to SERVER: 192.168.1.1 ;; WHEN: Fri Feb 16 01:29:00 2001

  12. DNS - Limitação de informação • Através dos registos do seu DNS, o hacker pode ficar a saber sobre todas as suas máquinas. • Uma boa política de segurança é o de manter um servidor de DNS externo, com apenas a informação relativa às máquinas que devem ser acedidas pelo público em geral. • O hacker irá tentar descobrir TODAS as máquinas existentes na sua rede. • Quantas mais máquinas o hacker conhecer, maiores são as suas probabilidades de encontrar uma máquina vulnerável. • Para descobrir as restantes máquinas, o hacker terá que utilizar técnicas de scanning.

  13. Scanning - à procura de máquinas • Um método de detecção de máquinas activas numa rede é o de enviar pacotes para todos os endereços IP dessa rede, e analisar quais os que respondem • Existem diversos tipos de pacotes que podem ser usados: • Ping - usa pacotes ICMP do tipo 0 e do tipo 8 • Outros pacotes ICMP • TCP connect • TCP Syn • UDP • Outros

  14. Recolher informação da sua rede • É útil ao hacker conhecer a estrutura da sua rede: • Permite-lhe saber quais os caminhos que os pacotes percorrem dentro da sua rede. • Pode indicar máquinas por trás das firewalls. • A política de routing pode ser determinada: • Verificando os caminhos que os pacotes tomam dentro da sua rede • o traceroute (tracert em Windos) permite esta verificação • Perguntando directamente aos routers

  15. Traceroute • Consiste no envio de pacotes com baixos TTLs, e registo dos pacotes de retorno. • Com o traceroute, o hacker pode ver quais os caminhos seguidos pelos pacotes dentro da sua rede: • traceroute 192.168.1.13 traceroute to www.vitima.pt (192.268.1.13), 30 hops max, 38 byte packets 1 gateway.necdum.net (194.38.148.246) 1.769 ms 1.743 ms 1.828 ms 2 internal (192.168.64.25) 20.516 ms 20.386 ms 20.288 ms 3 rt-lisboa-1.meganet.pt (194.38.128.1) 21.778 ms 21.976 ms 22.354 ms 4 195.245.142.225 (195.245.142.225) 26.441 ms 25.321 ms 93.067 ms 5 195.245.142.5 (195.245.142.5) 63.029 ms 56.748 ms 59.061 ms 6 195.245.142.14 (195.245.142.14) 37.450 ms 38.736 ms 37.150 ms 7 195.245.131.162 (195.245.131.162) 38.344 ms 39.007 ms 38.832 ms 8 195.245.131.194 (195.245.131.194) 43.926 ms 43.701 ms 38.788 ms 9 192.168.1.126 (192.168.1.126) 60.514 ms 48.280 ms 40.577 ms 10 192.168.1.58 (192.168.1.58) 41.769 ms 40.519 ms 38.675 ms 11 192.168.1.13 (192.168.1.13) 40.450 ms 38.797 ms 40.302 ms

  16. SNMP - olhando para a sua rede • Simple Network Management Protocol - SNMP • Usado para monitorização e administração remota de máquinas. • A maior parte dos routers e switches tem a capacidade de falar SNMP. • Muitas redes não têm os seus equipamentos de rede protegidos contra acessos SNMP. • Muitas redes nem sabem da capacidades SNMP dos seus routers e switches, e muito menos das suas configurações por omissão • Pode ser utilizado para determinar políticas de routing e topologia de rede.

  17. SNMP - snmpnetstat • O snmpnetstat faz parte de um conjunto de aplicações de SNMP freeware, e é usado para questionar routers capazes de falar SNMP sobre as suas tabelas de routing • snmpnetstat 192.168.1.126 -rn Routing tables Destination Gateway Flags Interface default 192.168.1.121 UG if0 10 0.0.0.0 U Null0 192.168.1/27 192.168.1.58 UG if0 192.168.1.32/28 192.168.1.57 UG if0 192.168.1.40/29 192.168.1.57 UG if0 192.168.1.50/32 192.168.1.57 UG if0 192.168.1.56/29 192.168.1.62 U Ethernet1 192.168.1.60/32 192.168.1.57 UG if0 192.168.1.64/27 192.168.1.57 UG if0 192.168.1.120/29 192.168.1.126 U Ethernet0

  18. SNMP - defesas • Antes de poder usar SNMP, o hacker tem de saber o community name do equipamento • Por omissão, o nome é ‘public’ • O community name é a ‘password’ do SNMP • De maneira a impedir que os hackers possam recolher este tipo de informação, deverá escolher bons community names • I.e, palavras não públicas e difíceis de adivinhar

  19. Identificação de serviços • Após a identificação das máquinas, o hacker irá agora tentar determinar quais os serviços que se encontram a correr: • Estes serviços são o que o hacker irá tentar atacar. • O primeiro passo no processo de identificação de serviços é o port scanning.

  20. Port scanning • O port scanning consiste no envio de pacotes para portas específicas das máquinas alvo, e na observação das respostas • Existem diferentes tipos de pacotes que podem ser enviados • TCP - usando o 3 way TCP handshake. • SYN - apenas é enviado o primeiro pacote do 3 way TCP handshake. • UDP - na tentativa de se encontrar serviços UDP. • Outros.

  21. Port scanning - ferramentas • Existem inúmeras ferramentas de port scanning de domínio público. • Uma das ferramentas mais utilizadas para port scanning é o nmap, da www.insecure.org: • Suporta várias técnicas para detecção de portas activas • Suporta stealth scans, difíceis de serem detectados • Permite saber qual o sistema operativo que corre na máquina

  22. Port scanning - nmap • nmap vitima.pt Interesting ports on (192.168.1.13): (The 2 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 443/tcp open https

  23. Determinar o Sistema Operativo • Saber qual o Sistema Operativo que corre numa máquina, permite ao hacker procurar vulnerabilidades e exploits específicos. • Para determinar o Sistema Operativo, o hacker pode: • Fazer “inspecção de banners”. • Usar TCP/IP fingerprinting. Esta técnica baseia-se na análise dos pacotes que são devolvidos pela stack TCP/IP da máquina alvo. • O nmap suporta técnicas sofisticadas de TCP/IP fingerprinting

  24. Determinar o software dos serviços • Com a lista de portas activas gerada anteriormente, o hacker irá tentar determinar: • O nome do software. • A sua versão. • O seu Patch Level. • Os banners dos serviços muitas vezes indicam este tipo de informação.

  25. Determinar o software dos serviços • Inspecção de banners é uma técnica que se baseia em analisar a informação retornada pelos serviços. • É normalmente feita com um cliente de telnet (ou uma ferramenta semelhante), ligando-se directamente ao serviço. • Bons protocolos para esta técnica são o ftp (tcp/21), telnet (tcp/23), smtp (tcp/25) e o http (tcp/80) • telnet mail.vitima.pt 25 Connected to mail.vitima.pt. Escape character is '^]'. 220 mail.vitima.pt Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at Fri, 16 Feb 2001 01:46:34 +0000

  26. Determinar o software dos serviços • Caso a inspecção de banner se mostre infrutífera, o hacker irá usar outras técnicas: • Através da utilização normal do serviço. • Por exemplo, muitos servidores de http retornam o seu nome e versão na página de erro por omissão • O hacker pode ainda determinar o software por outras informações. • Por vezes, o facto de se conhecer a versão do sistema operativo pode permitir determinar a versão do software do serviço

  27. Vulnerabilidades • Depois de determinar o software que corre nos serviços, o hacker irá iniciar o processo de teste de vulnerabilidades. • Existem inúmeras bases de dados de vulnerabilidades, organizadas por sistema operativo e versão do software. • Caso qualquer um dos serviços encontrados pelo hacker conste destas bases de dados, este irá tentar explorar a vulnerabilidade. • Este é o funcionamento normal dos scanners de vulnerabilidades existentes, como o CyberCop e o ISS • Alguns hackers irão correr estes tipos de scanners, mas outros não, por serem facilmente detectáveis

  28. Vulnerabilidades - fontes de informação • Sites de segurança • http://www.securityfocus.com/ • http://p.ulh.as/ • Mailing lists • Bugtraq • NTSecurity • CERT • Contacto directo • IRC • Cons • Sites específicos

  29. Vulnerabilidades - tipos • Existem diversos tipos de vulnerabilidades: • Remotos vs locais • Elevação de previlégios vs negação de serviço • Erro de programação vs erro de configuração • Os mais graves são os que permitem acesso remoto ao sistema, com previlégios de super utilizador. • Buffer overflows

  30. Vulnerabilidades - leitura e escrita no disco • Serviços que permitem a leitura e escrita no disco são os alvos preferenciais dos hackers: • File Transfer Protocol (FTP) • Network File Server (NFS) • System Message Block (SMB) • O serviço de Remote Procedure Calls é um alvo frequente: • rpcinfo -p <host> é usado para questionar os serviços de RPC existentes numa máquina

  31. Vulnerabilidades - continuação • Network File Service (NFS) • Baseado em RPC • showmount -e <host> pode ser usado para determinar se existe algum share a ser partilhado por outras máquinas • Windows File Shares (SMB) • snbclient -L <netbios name> -I <target IP> pode ser usado para determinar se existe algum share SMB a ser partilhado por outras máquinas

  32. Vulnerabilidades - serviços de Internet • DNS • Existem problema em quase todas as versões do Bind, o servidor de DNS mais utilizado na Internet • Mail • Foram célebres os problemas que afligiram o Sendmail desde o seu nascimento • HTTP • O IIS e é pródigo em problemas de segurança, sendo conhecidos problemas em: • Frontpage extensions • Coldfusion • Unicode interpretation

  33. Vulnerabilidades - exploits • Qualquer um dos serviços identificado é uma potencial porta de entrada para o hacker. • Existem inúmeras fontes de informação na Internet que distribuem informação sobre as vulnerabilidades existentes nos diversos serviços: • Algumas apenas descrevem a vulnerabilidade, bem como maneiras de se proteger das mesmas. • Outras descrevem a maneira como a vulnerabilidade pode ser explorada (exploit), podendo inclusivé fazer-se acompanhar pelo código fonte do exploit.

  34. Informação sobre os seus utilizadores • De maneira a poder ter acesso a alguns dos sistemas da sua rede, o hacker irá tentar aceder aos mesmos fazendo-se passar por um dos utilizadores creditados. • Existem várias fontes de informação onde pode ser encontrada informação sobre os seus utilizadores: • Motores de procura • News • Endereços de mail • Caso esteja activo, o finger pode fornecer muita desta informação.

  35. Utilizadores - passwords • Depois de ter compilado uma lista de nomes, o hacker irá tentar adivinhar as respectivas passwords. • O hacker irá tentar ligar-se a um dos serviços que forneça login, e tentar algumas passwords. • Existem inúmeras ferramentas que permitem a automatização deste processo: • Baseados em dicionários - palavras comuns. • Brute force - tentando todas as combinações possíveis. • Qualquer serviço que forneça login pode ser atacado por este tipo de ferramenta.

  36. Utilizadores - boas passwords • De maneira a proteger as suas passwords deste tipo de ataque, deverá • Criar passwords longas (> 7 caracteres). • Criar passwords que contenham letras, números e símbolos. • Criar passwords que não sejam baseadas em palavras conhecidas. • Os serviços que fornecem login devem bloquear a conta depois de várias tentativas falhadas. • É assim que funciona o Multibanco

  37. Sumário • Os hacker necessitam de informação para serem bem sucedidos nas suas tentativas de intrusão. • Existem diversas maneiras de eles conseguirem esta informação. • Ao negar esta informação aos hacker, está-lhes a negar o acesso à sua rede.

More Related