Archive for category Segurança

Mac Flooding – Entendendo melhor o ataque.

O Mac flooding (não é nome de sanduiche novo) é geralmente usado para atacar Switches da sua rede. Neste tipo de ataque eles bombardeiam seu dispositivo com vários números MAC de origem falsos com a intenção de consumir toda memória reservada a tabela de endereços físicos do seu dispositivo. A famosa tabela ARP.

Quando isso acontece o Switch pode responder de duas maneiras:

  1. O switch simplesmente trava.
  2. Ele começa a operar no modo Failopen.

Como no primeiro modo, ao travar o Switch, iria derrubar todas as conexões que estivessem feitas a ele a maioria das fabricantes prefere usar o segundo modo, afinal, Switch travando não é uma boa propaganda.

Porém, ao se utilizar o modo Failopen, o Switch abandona a tabela ARP e começa a trabalhar como se fosse um Hub onde os pacotes são endereçados a todas as portas em Broadcast. Sendo assim é possível a captura de pacotes em toda a sua rede utilizando um Sniffer.

Para demonstrar o ataque é possível utilizar uma ferramenta que faz parte da suíte Dsniff o MACOF (nome sugestivo né?).

  1. Fazendo o download – Para baixar acesse a pagina da suíte clicando AQUI, ou simplesmente digite no seu terminal Debian o comando #apt-get install dsniff
  2. Utilizando – A utilização é mais simples ainda, após instalando digite no seu terminal #mcof –i eth0 –n 100000. O –i indica por qual interface iremos lançar os pacotes e o –n indica a quantidade de pacotes com Mac falsos.

Agora vamos ver como se defender usando algumas técnicas para prevenir o ataque:

  1. Implementar filtros de segurança L2 (MAC filter).
  2. Permitir que apenas um número limitado de MAC Address seja aprendido automaticamente por porta.
  3. Implementar Port Security com bloqueio automático de portas em caso de tentativa de intrusão.

Mas como aplicar no meu dispositivo? (Utilizando um switch da Cisco)

A Cisco tem uma funcionalidade chamada switchport port-security, que protege contra esse tipo de ataque. Você pode usar essa funcionalidade para restringir a entrada de um número grande de endereços MAC em uma interface limitando e identificando endereços MAC de estações que podem ter acesso as portas.

Existem três modos de endereços MAC:

  1. Endereços MAC estáticos: Esses são configurados manualmente usando o comando: switchport port-security mac-address mac-address interface configuration. O endereço é guardado na tabela e adicionado ao “running config” do dispositivo.
  2. Endereços MAC dinâmicos: Esses, como o nome diz, são aprendidos dinamicamente.  O endereço é guardado na tabela, porém não é adicionado ao “running config” e é removido casso o switch reinicie.
  3. Endereços MAC “sticky”: Esses podem ser aprendidos dinamicamente ou manualmente adicionados. O endereço é guardado na tabela e adicionado ao “running config”. Se os endereços forem salvos no “running config” não precisam ser aprendidos novamente quando o switch reiniciar.

Uma porta segura pode ter de 1 a 132 endereços associados a ela. Porém o numero total de endereços seguros em um switch é de 1024. Quando o número máximo de endereços MAC seguros é atingido e uma estação que não tem seu endereço MAC na tabela do dispositivo tenta um acesso na interface uma violação de segurança ocorre.

O Switch pode reagir de três maneiras a essa violação de segurança:

  1. Modo Protect: Todos os pacotes vindos de estações com o endereço desconhecido serão descartados até que você libere um número suficiente de endereços MAC seguros ou aumente o número de endereços seguros permitidos. Neste modo você não será notificado das violações de segurança.
  2. Modo Restrict: Exatamente igual ao modo Protect. Porém, nesse modo, você é notificado das violações de segurança. É enviada uma trap SNMP, uma mensagem ao syslog e o contador de violações e incrementado.
  3. Modo Shutdown: Nesse modo uma violação de segurança muda o estado da porta para “error-disabled” o que desativa a porta (até os leds). Também envia uma trap SNMP, uma mensagem ao syslog e incrementa o contador de violações.

Mão na massa:

Vamos, como exemplo, limitar a 10 o número de endereços MAC, dois deles serão do tipo estático (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), na interface FastEthernet 0/1. Usaremos o modo Restrict.

R1# conf t
R1(config)# interface fastethernet0/1
R1(config-if)# switchport mode access
R1(config-if)# switchport port-security
R1(config-if)# switchport port-security maximum 10
R1(config-if)# switchport port-security violation restrict
R1(config-if)#switchport port-security mac-address sticky 
R1(config-if)# switchport port-security mac-address aaaa.aaaa.aaaa
R1(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

Sendo:

switchport mode access: O port-security funciona apenas em portas do tipo acesso.
switchport port-security: Habilita o port security na interface.
switchport port-security maximum 10: Seta o número máximo de endereços MAC da interface para 10.
switchport port-security violation restrict: Defines o modo de utilização “restrict”.
switchport port-security mac-address aaaa.aaaa.aaaa: Define o endereço MAC estático. Quando você cadastrar menos endereços do que os definidos como máximo os restante será aprendido dinamicamente.

Não podemos utilizar o port security se a porta estiver configurada como: Trunk, Dynamic, Dynamic-access, EtherChannel, 802.1X, Switch Port Analyzer (SPAN) destination.

Davi Sabino Barros
*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , , , , , , , ,

Comments

Crie senhas perfeitas automaticamente.

Site promete criar senhas perfeitas!
Ao acessar o site da Gibson Research Corporation podemos utilizar gratuitamente a ferramenta de geração de chaves (senhas) que nunca se repetem, são unicas e somente para você. Com a opção de 64 caracteres em Hexadecimal e 63 em ASCII ou Alfa Numéricos criamos uma senha que é muito improvável que se quebre. Levaria, por exemplo, alguns anos com um ataque de forca bruta.

Clique AQUI para gerar sua senha.

Para os que querem criar suas senhas observe algumas regras básicas para melhorar a segurança.
1. A senha deve ser aleatória, não utilize sequências ou mesmo palavras inteiras, embaralhe.
2. Misture com números e símbolos.
3. Alterne entre maiúsculas e minúsculas.
4. Senhas longas.
5. Diferentes senhas para diferentes sites.

Davi Sabino Barros
*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

 

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , ,

Comments

Nmap Básico

O Nmap é uma ferramenta de Portscanning que ajuda na verificação da nossa rede. Podemos verificar, entre outros, se nossas portas estão realmente fechadas para a internet.


 

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , ,

Comments

Portscan – Entendendo melhor o ataque.

O que é Portscan?

O Portscan, que foi criado para que os administradores pudessem visualizar os serviços em sua rede, é como os atacantes geralmente começam a buscar informações em seu servidor. Verifica quais os serviços e portas que se encontram abertas e em uso no servidor. Capaz de localizar vulnerabilidades entre maquinas que se encontram na rede.

Não entendi nada!

Bem, analogicamente, podemos comparar o Portscan com um ladrão, que vigia um bairro inteiro a procura de janelas e portas abertas, por onde possa entrar.

Mas como ele faz isso?

Primeiro precisamos entender que, como manda a RFC do TCP, quando começamos uma negociação para conexão TCP com outro computador, mandamos um pacote com a flag SYN ativada, e ele deve então responder um pacote com as flags SYN+ACK ativadas, ou seja, quando há resposta a porta se encontra aberta, dependendo da porta sabemos qual o serviço que se encontra ativo nela.

Ha vários tipos de portscanner, uns mais efetivos e mais “seguros” para os atacantes, ou seja, que deixam menos rastros. Vamos aos tipos:

  1. Método connect() ou “Dumb Scan” – E um método antigo e simples, utiliza o processo que foi descrito acima. Felizmente, quando se utiliza esse método, o atacante, quando recebe o SYN+ACK, devolve um pacote ACK onde inicia a conexão, porem nesse mesmo momento é possível se identificar a origem. O ataque é facilmente detectado.
  2. Método Half-open – Vendo o problema do método connect(), surgiu à ideia de se fechar a conexão mandando um RST ao receber o pacote SYN+ACK, uma vez que já era possível somente com ele saber se a porta estava aberta ou não. E como somente no ultimo ACK estava a origem do atacante não seria possível identifica-lo.  Esse ataque foi considerado muito eficiente e por um momento indetectável. Porém os sistemas foram se aprimorando e começaram a identificar a origem no SYN inicial da conexão e não mais no ACK final. Tornando esse ataque facilmente identificável.

Começaram então a aparecer métodos obscuros de ataque, que são considerados mais efetivos. São eles:

  1. Fin Scan – Baseados mais uma vez na RFC do TCP, que diz que toda porta fechada deve responder com a flag RST ao receber um pacote com a flag FIN ativada e as portas abertas simplesmente ignoram o pacote com a flag. Sendo assim, ao invés de mandar um SYN, começaram a mandar um FIN que não continha a origem do atacante, aquelas portas que respondessem com um RST estavam fechadas, as que não respondessem nada estavam provavelmente abertas. A desvantagem dessa técnica e que não possibilita a identificação de algum tipo de filtragem por um firewall. Além disso, a Microsoft não segue as recomendações da RFC e responde com RST em todas as portas.
  2. Null Scan – Bem similar ao Fin scan, Assim como quando enviamos a flag FIN, ao enviar a flag NULL (onde desligamos todas as flags do pacote) as portas fechadas devem responder com a flag RST e as portas abertas simplesmente os ignoram.  Porem os mesmos problemas do Fin scan também são aplicados aqui. Outro problema e que se o scan não identificar que a maquina esta “unreachable” ou tem algum tipo de filtragem ele pode entender que a porta que não responda esta aberta, retornando uma informação que não e correta.
  3. Decoy Scan – Este é o método mais completo, pois envolve uma junção com uma da técnicas anteriores (menos a connect), tornando o ataque mais poderoso e trazendo informações possivelmente mais relevantes. Ele disfarça a origem real do ataque, enviado diversas origens como se fossem vários computadores fazendo o port scan ao mesmo tempo, sendo que somente alguns dos pacotes foram enviados pelo ip real do atacante confundindo o computador.

Casso o atacante tenha sucesso em qualquer um dos tipos de ataque ele já terá algumas das informações necessárias, como portas abertas e serviços utilizados, para começar a explorar um ataque mais complexo ao seu computador.

Davi Sabino Barros

*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , ,

Comments