Fechar

quinta-feira, 12 de agosto de 2010

Segurança em redes, resumo do artigo:


Técnicas Adotadas pelos Crackers para Entrar em Redes Corporativas


GERLACHCristianoTécnicas Adotadas pelos Crackers para Entrar em Redes Corporativas. Disponível em:  < http://www.rnp.br/newsgen/9903/crackcorp.html >. Acesso em: 6 out. 2009.

Introdução:
              No artigo o altor descreve quais são os perigos a que uma rede está exposta, como age um atacante e demostra algumas  técnicas para ajudar a se proteger dos ataques.

Quem está vulnerável?

              As redes são pensadas para terem performance e muitas vezes os projetistas se esquecem da segurança. Os modelo mais comum de redes, é o cliente servidor. Onde os usuários utilização e compartilham arquivos em um servidor central, que é o principal alvo dos crackers.
As principais vítimas dos ataques são:
                  Instituições financeiras e bancos;
     ISPs (provedores de Internet);
     Companhias farmacêuticas;
     Governo e agências de defesa;
     Empresas multinacionais.

O perfil de um cracker de sistemas típico

              Segundo estudos,  os crakers são do sexo masculino, com idade entre 16 e 25 anos, com bastante tempo livre que costumam fazer ataques para se vingar de empresas onde trabalharam ou mesmo para aumentar suas habilidade.

Forma de conexão mais adotada

Na maioria das organizações a internet é adotada pelos seguintes propósitos:
                  Hospedagem de servidores corporativos;
                  Serviço de e-mail e outras facilidades de comunicação;
                  Fornecimento aos funcionários dos serviços desta rede.
              Estudos de empresas especializadas em segurança, indicam que alguns dos servidores ficam fora da rede interna e as informações são transmitidas através de canais confiáveis.  Isso pode gerar falhas de segurança graves e devem ser feitas várias filtragens com proxys e firewalls.

Entendendo as vulnerabilidades destes sistemas de rede

              Os servidores web, não costumam ser são atacados por cracker que querem acessar a rede interna, a menos que o firewall permita fazer isto. Daí é bom manter um TCP Wrappers, que permite que apenas ips autorizados acessem o servidor.
              Já os servidores de email, são os principais alvos, porque eles precisam estar em constante acesso a rede interna.
              Os roteadores também são alvos dos crackers , os ataques ocorrem por  SNMP-Scanning e password crackers do tipo f orça-bruta. Se houver sucesso no ataque, o roteador passa a funcionar como uma fonte para o cracker.

Ataques

              Os cracker utilizam as seguintes técnicas para se conectarem aos hots para fazerem ataques:
                  Conectar-se através de outras máquinas comprometidas via Telnet ou rsh;
                  Conectar-se através de computadores com Windows via Wingates;
                  Conectar-se através de hosts utilizando proxies configurados impropriamente.
              Se um administrador detectar que um cracker está monitorado os seus hots através de uma maquina que está comprometida, ele deve ligar para o administrador dessa máquina e avisa-lo. Jamais deve enviar email, pois o cracker pode intercepta-lo.
             
A coleta de informações

              Ao conectar-se a rede o cracker realiza alguns testes para tentar entender a estrutura da rede, para depois procurar as vulnerabilidades. Porém por descuido, ele pode deixar seu ip ao realizar alguns dos testes. Quando o administrador suspeitar que seus hots estejam sendo invadidos, é bom analisar os logs e checar alguma informação.

Identificando componentes de rede confiáveis

              Os crackers procuram por hosts  confiáveis na rede para atacar, pois estes, geralmente, são máquinas utilizadas pelos administradores ou mesmo um servidor que é considerado seguro. Além do mais alguns diretórios  só podem ser acessados por  hosts confiáveis.
              Após identificar os hots, o cracker procura por aquele que possui alguma vulnerabilidade para tentar um ataques.

Identificando componentes vulneráveis de uma rede

              Se o cracker elaborar uma listas com os hosts internos e externos da rede ADMhack, mscan, nmap e alguns scanners simples para procurar por vulnerabilidades específicas nos mesmos.
                  Tanto o ADMhack como mscan executam os seguintes tipos de teste em hosts remotos:
                  TCP portscan;
                  Dump do serviço RPC rodando através do portmapper ;
                  Listagem dos dados exportados via nfsd;
                  Listagem dos compartilhamentos f eitos v ia Samba ou Netbios;
                  Pedidos de finger múltiplos para identificar "contas default";
                  Rastreamento de vulnerabilidades de CGI;
                  Identificação de versões vulneráveis de programas servidores,
                  incluindo Sendmail, IMAP, POP3, RPC status e RPC mountd.
              Geralmente as máquinas dos administradores é que são usadas como base de ataque, onde o craker instala um rootkit, que é usado para abrir  backdoors em programas que poderiam denunciar seu ataque, camuflando assim suas ações. Daí fica muito difícil detectar que a máquina está comprometida.

Tirando vantagens dos componentes vulneráveis de uma rede

              Se o craker encontrar algum host confiável na rede, ele tentará também identificar alguma vulnerabilidade para poder ataca-lo e comprometer a rede. Se o ataque acontecer a um servidor de email, o craker poderá ter acesso a um segmento de rede interno e então ele fará tentativas de aprofundar na rede.
              Ele tentara também comprometer os programas servidores (daemons), e a partir daí ter acesso a conta root que poderá ser usada para obter acesso a outros hosts da rede.

Quando o acesso a componentes vulneráveis da rede é obtido

              Depois de invadir a máquina, o cracker irá instalar backdoors em programas binários do sistema. Isso servirá para proteger a sua presença, mesmo que ela tenha sido descoberta. Muitas das  bakdoors, são binários já compilados com data e tamanho do arquivo original para camuflar e impedir de detectar quaisquer ações que ele venha a fazer.
              Por exemplo, podem ser instalados backdoors nos seguintes "binários críticos":
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
              Em seguida ele  tentará apagar os logs de login que possam denunciar a sua parecença, por isso é aconselhável redirecionar os logs para outro host, isso tornaria muito difícil para o cracker eliminar os rastros.
              Ao certificar que sua presença não está sendo detectada, o cracker continuara com a invasão a rede.

Fazendo a transferência de informações sigilosas

Se o o invasor é fazer transferência de informações sigilosas ou sensíveis de servidores FTP ou servidores Web da corporação, ele pode fazer isto a partir de um host externo que esteja atuando como um ponte entre a Internet e a rede interna.
              Porém, se a meta dele é fazer a transferência de informação sensível armazenada nas máquinas da rede interna, ele tentará obter acesso a ele através do abuso de confiança que o host externo que ele está utilizando possui.

Explorando outros hosts e redes confiáveis

              Muitos cracker irá repetir os mesmo passos para atacar outros hots, instalado "Cavalos de Tróia" e backdoors. E se ele obter acesso total as máquinas, ele não só instalara os arquivos como irá instalar Farejadores (Sniffers ) e remover os logs que possam denuncia-lo.

Instalando farejadores

              Farejadores ou “Ethernet Sniffers” sãoa programas usados para capturar logins e senhas de usuários na rede, armazenando as informações em umarquivo de log. Muitos deles são executados em background e são camuflados pelas backdoors instaladas na máquina para que o administrador não o identifique. Geralmente são instalados no  diretório /usr/bin ou /dev . Como são instalados em Ethernets, qualquer dado que trafegue pela rede pode ser capturado.
              Depois de um tempo o cracker retorná e fará a trasnferência do arquivo. Se a rede não possui uma boa politica de segurança, essa ação será dificilmente detectada.
              Um  utilitário usado para ajudar a detectar esse ataque é o  TripWire.  Ele faz uma espécie de MD5 (checkSum) em seu sistema de arquivo e notificará qualquer mudança feita neles.
              Para detectar interfaces de redes promíscuas (um sinal comum desinstalação de farejadores), a ferramenta cpm, disponível no site da CERT, é muito útil. < http://www.cert.org/f t/tools/cpm/>.

Tomando redes

              Se o cracker puder comprometer servidores críticos da rede, ele poderá fazer grandes estragos como rodar o comando  “rm -rf / &”, que fará com que todos os arquivos sejam apagados, o que dependendo da  politica de backups, poderá deixar a rede fora do ar durante horas ou dias.
              Se ele obtiver acesso a rede interna, ele poderá abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay  e Ascend. Podendo desliga-los ou resetear as suas configurações.               Por este motivo,é fundamental que os roteadores e servidores de "missão critica" sejam especialmente verificados, instalando patches e cuidando de sua segurança.
             
Conclusão

O artigo apresentou a técnicas usadas por alguns cracker  para invadir redes corporativas e ocultar o ataque dos olhos do administrador. Mostrando com é importante politicas de segurança para a rede.

Sistemas de Firewall e Defesa de Perímetros


              O autor inicializa o texto fazendo referencia ao livro da cisco onde, os autores fazem um paralelo de como no passado o poder dos países e das organizações eram medidos em quantidade de produção: toneladas de ferro, milhares de barris de petróleo, etc. Enquanto hoje,  na opinião dos autores, esse poder está ligado mais a capacidade de transferir informação com integridade e segurança, pois estas informações poderiam ser usadas contra esses países, como por exemplo a localização de uma base militar.
              Com a nescidade de trocar cada vez mais informações, as empresas e organizações se estruturarão para integrar-se a internet, abrindo suas portas para o mundo. Com isso isso, surgiu  a preocupação com as informações trafegadas na rede.
              A proteção interna normalmente é feita baseada em politica de segurança, como trocas de senhas regularmente, instalação de anti vírus nas estações e controle rígido de usuário.
              Para a proteção externa é feito o uso de um firewall, tecnologia usada para filtragem dos dados que trafegam entre a rede interna e a internet, funcionando como um barreira e permitindo apenas a passagem daquilo que importante para a organização, o que se torna vital para a segurança.
              O uso do firewall é muito interessante, porque permite um controle sobre o que os usuários podem acessar e usando uma boa politica de segurança  protege todo  patrimônio da organização contra ataques de crackers.
              Para que o firewall funcione bem, é necessário que exista apenas um entrada na rede, ou seja apenas um ponto de conexão com  a internet. Por isso ele precisar ser trabalhar  junto com os roteador da rede, criando uma solução bastante eficaz, pois os roteadores deixam passar todo o tráfico, barrando apenas o que está no filtro, já o roteador, barra tudo e permite apenas o que foi especificado.
              Uma boa base para a politica de segurança, está em bloquear as portas que são mais usadas por crakers para realizar ataques. E mesmo com essas portas bloqueadas, devem ser feitos monitoramento constantes das mesmas para detecção de tentativas de invasão.
              É importante saber que o bloqueio de algumas portas podem barrar serviços, mas que podem aumentar muito a segurança da rede como será apresentado a seguir:
             
1.               Pacotes inválidos
 
Recomendação: Bloqueio de pacotes originários de endereços inválidos previstos em RFC.
1.               Pacotes com origem em redes privadas devem ser desconsiderados, o seu bloqueio auxila na proteção contra o envio de pacotes forjados (spoofing).

Serviços de Login

              Recomendação: Bloqueio dos serviços telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp) e rlogin (512/tcp até 514/tcp).
              Telnet é um serviço que permite comunicação bidirecional entre duas máquinas, usado mais em sistemas Unix. Ele é vulnerável a captura de sessão, onde o atacante pode se apoderar do shell e realizar ataques na maquina.
              FTP é utilizado exclusivamente para transferência de arquivos, ele permite que arquivos também sejam alterados. O grande problema do FTP está na configuração de quais diretórios o usuário pode acessar, o que pode dar acesso a arquivos importantes do sistema. Assim com o telnet, a sessão do FTP também pode ser atacada.
              Rlogin e semelhantes, portas TCP 512 até 514 (exec, login e shell, respectivamente), é baseado no modelo de confiaça onde o servidor permite controle total baseado em um IP de origem. Toda informação é trocada sem criptografia e os dados podem ser capturados através de sniffing.
              Esses serviços podem ser substituídos pelo ssh, que  criptografa as informações que estão sendo trafegadas, dando maior segurança aos dados. Mas por ser alvo de ataques, ele precisa ser usado com cuidado e deve ser sempre atualizado.

RPC e NFS
 
              Recomendação: Bloqueio dos serviços Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e 2049/udp), lockd (4045/tcp e 4045/udp).
              O serviço Portmap é responsável por manter o estado dos serviços de RPC (Remote Procedure Call).              Um invasor ao estabelecer conexão na porta 111 utilizando, por exemplo, o comando "rpcinfo", pode receber informações a respeito das aplicações registradas em um servidor.
              O NFS, Network File System, permite que as máquinas montem diretórios no servidor Unix, a falta de cuidado dos administradores podem deixar diretórios com permissão de leitura e escrita, permitindo que qualquer cliente monte os diretórios.

NetBios

Recomendação: Bloqueio das portas 135 (tcp e udp), 138 (udp), 139 (tcp) além da porta 445 (tcp e udp) - esta última em caso de utilização do Windows 2000.
              Netbios é uma interface de desenvolvimento de aplicação que utiliza basicamente três tipos de serviços. O serviço de resolução de nomes, que utiliza a porta 137, enviando broadcast de pacotes UDP, O serviço compreendido pelo datagram service, que utiliza a porta 138 para enviar broadcast UDP ou broadcasts direcionados, e o serviço de sessão, que por sua vez utiliza a porta TCP 139 para enviar e receber dados.
              Os dados trafegados em redes NT windows são muitos vulneráveis a grande partes dos ataques poderiam ser evitadas bloqueando-se os serviços NetBios.

X Windows

Recomendação: Bloqueio do range de portas de 6000/tcp até 6255/tcp
              O servidor X11, proporciona a interface gráfica a usuários Unix. Com um ataque ao x11, o craker poderia obter a captura de screen, redirecionamento do display, mouse e teclado para a entrada de comandos arbitrários e o estabelecimento de sessão remota para execução de comandos no host remoto.

Serviços de Transferência de Zona/Resolução de Nomes - DNS/ Amazenagem

              Recomendação: Bloqueio de DNS (53/udp) para todas as máquinas que não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp).
              O Servidor DNS é usado para traduzir nomes em endereço IP. O invasor pode alterar a base de dados do servidor DNS alterando os endereços dos hots com informações erradas. O tráfico de DNS precisa ser monitorado constantemente por uma serie de motivos, inclusive que outra maquina rede possa estar oferecendo o serviço gerando conflitos.

Mail
Recomendação: Bloqueio de SMTP (25/tcp) para todas as máquinas que não são relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp).
              O SMTP, Simple Mail Transfer Protocol, especifica como dois agentes de transferência (MTAs) trocam e-mail através de uma conexão TCP. Não há nescessidade de liberar tráfego SMTP procedente da Internet que não seja do servidor de email da organização. O smtp é vulneravel a: sniffing e modificações de host/username, denial Of Service, ataques de buffer overflow.
              O Post Office Protocol, permite a usuários o download das mensagens armazenadas em um servidor de mail. Basicamente POP3 utiliza a porta TCP 110. Não critografa a senha para trafegar os dados na rede, possibilitando que os dados sejam capturados.             

Web - Serviços HTTP
 
              Recomendação: Restrição de acesso somente aos servidores que necessitam prover serviços web e limitação de acesso somente a portas 80 e 443.
              O HTTP, Hypertext Transfer Protocol, é utilizado para serviços de informação hypermidia. Limitar acesso ao servidores que provem o serviços de HTTP, elemina o risco de acesso a servidores que não foram configurados para esse fim.
              Bloquear as portas  80 e 443 não previne que o servidores sofram ataques maliciosos.

Small Services
              Recomendação: Bloqueio do tráfego direcionado a portas abaixo das portas 20 tcp e 20 udp, assim como serviço TIME (37/tcp e 37/udp).
              Na pratica os Small services não usados, e devem ser bloqueados, do contrario pode servir para como um canal de informações para os invasores.

TFTP - Tivial FTP
Recomendação: Bloqueio do tráfego direcionado à porta TFTP (69/udp).
              Trivial File Transfer Protocol é uma implementação menos segura do FTP e foi desenvolvido para uso em máquinas que não dispunham de drive para o procedimento de boot. Possui todas as vulnerabilidades do FTP.

FINGER
Recomendação: Bloqueio do tráfego direcionado a porta 79/tcp.
              O  FINGER permite obter várias informações sobre a rede, dando ao invasor um boa ideia da estrutura facilitando o ataque.
NNTP
 
Recomendação: Bloqueio do tráfego direcionado a porta 119/tcp.
              O Network News Transport Protocol é utilizado para transferir notícias Usenet (newsgroups) através da Internet. É vulnerável a IP Spoofing. Um invasor pode ter acesso a um NNTP Server e verificar informações confidenciais postadas em listas de discussão específicas.

NTP
              Recomendação: Bloqueio do tráfego direcionado a porta 123/tcp.
              O Network Time Protocol é utilizado para sincronizar horários através da rede. Não foi projetado para suportar ataques, o que pode comprometer serviços que dependem da data/hora.

LPD
              Recomendação: Bloqueio do tráfego direcionado à porta 515/tcp.
              LPD é o protocolo de impressão de sistemas Unix. É vulnerável a ataques de buffer overflow e a  IP spoofing e Denial Of Service através da simulação de jobs de impressão falsos.

SYSLOG

              Recomendação: Bloqueio do tráfego direcionado à porta 514/udp
              SYSLOG é um serviço que permite a máquinas ou dispositivos de conectividade diferentes, o envio de logs (eventos) para um host central.  Se o servidor SYSLOG aceitar tráfego não autenticado, é possível a exploração de entradas falsas nos registros de log a partir de um invasor.

SNMP

              Recomendação: Bloqueio do tráfego SNMP - (portas 161/tcp, 161/udp, 162/tcp e 162/udp).
              Simple Network Management Protocol é utilizado em grande escala para permitir um gerenciamento centralizado de recursos e elementos de rede. Por isso e um dos serviços mais perigosos,  
permitindo ao atacante analisar toda rede. O SNMP  é passível de sniffin e pode revelar informações a respeito do ambiente de rede.

BGP

              Recomendação: Bloqueio do tráfego direcionado à porta 179/tcp
              O Border Gateway Protocol, ou BGP, é um protocolo que pemite conexão de Autonomous Systems distintos em uma arquitetura a formar um mesmo ambiente de rede, utilizando-se para isso o  "Exterior Gateway". É vulnerável a ataques do tipo SYN Flood e a ataques TCP com flag RST .

SOCKS
              Recomendação: Bloqueio do tráfego direcionado à porta 1080/tcp
              SOCKS é um protocolo utilizado para suportar tráfego TCP através de um proxy server. É utilizado por diferentes tipos de dados (FTP, Telnet, entre outros).  È passível de vulnerabilidades que permitem ataques do tipo Denial of Service, assim como buffer overflows.

ICMP
              Recomendação: Bloqueio de incoming echo request (ping e Windows traceroute), bloqueio de outgoing echo replies, time exceeded, e mensagens unreachable.
              Internet Control Message Protocol é utilizado para ajudar na assistência com mapeamento de ambientes de rede.



0 comentários:

Postar um comentário

Mais Populares

Seguidores

Є & V. Copyright 2011 Evaldo Avelar Marques - sprintrade network