segurança e forense em redes de computadores
Post on 07-Jul-2015
380 Views
Preview:
DESCRIPTION
TRANSCRIPT
Segurança e Forense em Redes de Computadores
whoami
Euler Neto
Entusiasta NTI GDG AracajuSegurança (UFS São Cristóvão)
Segurança em Redesde Computadores sem fio
WLAN Frames
WLAN Frames
● Tipos○ Management: manutenção da comunicação entre o access point
e o cliente
○ Control: troca de dados entre o access point e o cliente
○ Data
WLAN Frames
● Management○ Authentication○ De-authentication○ Association (Request e Response)○ Reassociation (Request e Response)○ Disassociation○ Beacon○ Probe (Request e Response)
WLAN Frames
● Control Frames○ Request to Send (RTS)○ Clear to Send (CTS)○ Acknowledgement (ACK)
Aircrack-ng
● Conjunto de ferramentas para captura e análise em redes sem fio
● Principais ferramentas:○ airmon-ng: ativar modo monitor da interface○ airodump-ng: captura de dados na rede sem fio○ aircrack-ng: quebra de chaves○ aireplay-ng: injetar pacotes na rede sem fio
Interface de rede (NIC)
● Modo Normal: captura tráfego da rede que está associado
● Modo Monitor: captura qualquer dado que circula no ar
Interface de rede (NIC)
● Ativando modo Monitor com o aircrack-ng
#: airmon-ng
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0]
#: airmon-ng start wlan0
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0](monitor mode enabled on mon0)
Interface de rede (NIC)
● Ativando modo Monitor com o aircrack-ng
#: airmon-ng
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0]mon0 Ralink 2573 USB rt73usb - [phy0]
Criptografia WLAN
● WEP
● WPA / WPA2
Criptografia WLAN
● WEP○ Foi descoberto como quebrar em 2000○ Fragilidade pelo IV (vetor de inicialização)○ Depende de tráfego na rede○ Quanto mais pacotes capturados, melhor
#: airodump-ng --bssid <endereço MAC do AP> --channel <canal> --write <arquivo> mon0
Criptografia WLAN
● WEP○ Processo do airodump-ng
CH 9 ][ Elapsed: 8 mins ][ 2007-03-21 19:25 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 42 100 5240 178307 338 9 54 WEP WEP MyNetwork BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 42 0 183782
Criptografia WLAN
● WEP○ E se não houver tráfego?○ É possível injetar pacotes para “simular” tráfego
#: aireplay-ng -3 -b <endereço MAC do AP> -h <endereço MAC do cliente> mon0
Criptografia WLAN
● WEP○ Processo do aireplay-ng (ARP Request)
Saving ARP requests in replay_arp-0321-191525.cap You should also start airodump-ng to capture replies. Read 629399 packets (got 316283 ARP requests), sent 210955 packets...
Criptografia WLAN
● WEP○ Utilizar aircrack-ng com o arquivo gerado pelo
airodump-ng○ Se funcionar, a senha da rede será revelada○ Se não funcionar, repetir todo o processo
capturando mais pacotes
#: aireplay-ng -3 -b [endereço MAC do modem] -h [endereço MAC do cliente] mon0#: aircrack-ng <arquivo>
Criptografia WLAN
● WEP○ Processo do aircrack-ng
Aircrack-ng 0.9 [00:03:06] Tested 674449 keys (got 96610 IVs) KB depth byte(vote) 0 0/ 9 12( 15) F9( 15) 47( 12) F7( 12) FE( 12) 1B( 5) 77( 5) A5( 3) F6( 3) 03( 0) 1 0/ 8 34( 61) E8( 27) E0( 24) 06( 18) 3B( 16) 4E( 15) E1( 15) 2D( 13) 89( 12) E4( 12) 2 0/ 2 56( 87) A6( 63) 15( 17) 02( 15) 6B( 15) E0( 15) AB( 13) 0E( 10) 17( 10) 27( 10) 3 1/ 5 78( 43) 1A( 20) 9B( 20) 4B( 17) 4A( 16) 2B( 15) 4D( 15) 58( 15) 6A( 15) 7C( 15) KEY FOUND! [ 12:34:56:78:90 ] Probability: 100%
Criptografia WLAN
● WPA / WPA2○ WPA utiliza um algoritmo de segurança mais
robusto (TKIP)○ WPA2 utiliza um ainda mais robusto (AES-CCMP)○ Mas ambos são vulneráveis a ataque de dicionário
(WPA-Personal)
Criptografia WLAN
● WPA / WPA2○ Por que são vulneráveis?
Criptografia WLAN
● WPA / WPA2○ Também utilizando o airodump-ng○ Após executar o airodump-ng, esperar por um
handshake
Criptografia WLAN
● WPA / WPA2○ E se não tiver handshake?○ Se já tiver algum usuário na rede, o força a
reconectar
○ Se não tiver, infelizmente nada pode ser feito
#: aircrack-ng [arquivo]#: aireplay-ng --deauth 1 -a <endereço MAC do usuário conectado> mon0
Criptografia WLAN
● WPA / WPA2○ Necessita de um bom dicionário
#: aircrack-ng <arquivo> -w <dicionario>
Man-in-the-Middle
● Se colocar entre um cliente e o access point● Interceptar o tráfego● Algumas maneiras de fazer:
○ arp spoofing○ Fake AP
Man-in-the-Middle
● Arp spoofing○ Funcionamento do protocolo ARP○ Vulnerabilidade do ARP○ Explorando a vulnerabilidade
Man-in-the-Middle
● Protocolo ARP○ ARP Request
Quem é 192.168.1.5?Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
Man-in-the-Middle
● Protocolo ARP○ ARP Reply
Quem é 192.168.1.5?EU! End. MAC: AA:AA:AA:AA
Quem é 192.168.1.5?
192.168.1.3
192.168.1.6
192.168.1.5
Man-in-the-Middle
● ARP Spoof○ ARP Request
Quem é 192.168.1.5?Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
Quem é 192.168.1.5?
Man-in-the-Middle
● ARP Spoof○ ARP Reply (O atacante envia o sinal primeiro)
Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
EU! End. MAC: AA:AA:AA:AA
EU! End. MAC: BB:BB:BB:BB
Man-in-the-Middle
● Por que funciona?○ Arp spoofing○ “Engana” o cliente e o access point○ Ativar encaminhamento de pacotes
#: echo 1 > /proc/sys/net/ipv4/ip_forward
Man-in-the-Middle
● MITM Passivo○ HTTP○ Não há alteração de dados
A A
BB
Man-in-the-Middle
● MITM Passivo○ Arpspoof
#: arpspoof -i wlan0 -t <IP da vítima> <IP do gateway>
#: arpspoof -i wlan0 -t <IP do gateway> <IP da vítima>
Man-in-the-Middle
● MITM Ativo○ HTTPS○ Alteração de dados
A C
BD
Man-in-the-Middle
● MITM Ativo○ Arpspoof + SSL Strip
#: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <porta não reservada>
#: ssltrip -w <arquivo> -l <porta não reservada>
Man-in-the-Middle
● MITM Ativo○ Resultado: certificado falso
Man-in-the-Middle
● MITM Ativo○ Por que funciona?
■ Falta de informação do cliente
Man-in-the-Middle
● Fake AP○ Criar um AP falso pra enganar a vítima○ Honeypot○ Cuidado com as redes preferenciais
Man-in-the-Middle
● Fake AP (Honeypot)○ Atrair a vítima para o AP falso
○ Criar uma rede falsa com: 1. Mesmo ESSID que a vítima está
associada2. ESSID com um nome falso (ex:
aeroporto, café, …)
Man-in-the-Middle
● Fake AP (Honeypot)○ Rastrear clientes com airodump-ng○ Criar o AP falso com airbase-ng
#: airbase-ng --essid <nome do AP> -c <canal> mon0
Man-in-the-Middle
● Fake AP (Honeypot)○ “Chamar” o cliente○ Ou aumenta o seu sinal…○ ...ou diminui o dele (?)
Man-in-the-Middle
● Fake AP○ aircrack-ng
Análise Forense em Redesde Computadores sem fio
Conceitos
● Perícia forense: ”suporte técnico ao judiciário, realizado por pessoas capacitadas, para responder a quesitos aos quais o judiciário não dispõe de embasamento suficiente para julgar com precisão”
Conceitos
● Computação forense: ”área da computação responsável por dar resposta ao judiciário em questões envolvendo sistemas computacionais”
Conceitos
● Forense em redes: ”captura, armazenamento, manipulação e análise de dados que trafegam (ou trafegaram) em redes de computadores como parte de um processo investigativo”
Grampo digital
● Investigação através de um grampo digital
● Fases:○ Instalação do grampo○ Captura de dados○ Análise de dados
Instalação do grampo
● Procedimento físico: identificar ponto de captura, técnica utilizada
● Técnicas○ Monitorar portas○ Interceptar dados
● Através de portas de monitoramento
Instalação do grampo
A B C D
mensagem de A para B
B recebe
Sniffer instalado
D recebe todo
tráfego de/para A
● Através de interceptação intermediária
Instalação do grampo
A B C
mensagem de A para B
B recebe
Sniffer instalado
D recebe todo tráfego de/para A
D
Instalação do grampo
● Grampo: host associado à rede
● Se não estiver associado○ Captura em modo monitor○ Quebra a chave
Captura de dados
● Procedimento lógico: escolha de software, parâmetros de captura, filtros
● Filtrar dados○ Wireshark?○ tcpdump
Captura de dados
● Filtros no tcpdump○ Por host
○ De um host para outro
#: tcpdump -X -vvv -n -i wlan0 -s0 host <IP> [ and host <IP>]
#: tcpdump -X -vvv -n -i wlan0 -s0 src host <IP> and dst host <IP>
Captura de dados
● Filtros no tcpdump○ Por porta
○ Gravando em arquivo
#: tcpdump -X -vvv -n -i wlan0 -s0 port <porta> [ and port <porta>]
#: tcpdump -X -vvv -n -i wlan0 -w <arquivo>
Análise de dados
● Identificar conteúdo capturado● Responder ao judiciário● Técnicas
○ Casamento de padrões○ Campos do protocolo○ Filtragem
Análise de dados
● Wireshark○ Boa interface○ Vários recursos○ Exportação de pacotes (Follow TCP Stream)
● Chaosreader○ Reconstrói sessão no formato HTML
Análise de dados
● Wireshark
Análise de dados
● Wireshark○ Follow TCP Stream:
■ Baseado em protocolos TCP■ Mostra sequência do tráfego■ Exportação de dados
Análise de dados
● Chaosreader○ Alguns screenshots: http://www.brendangregg.
com/chaosreader.html
Conclusões
● Vulnerabilidades existem● Conhecer como se ataca para se defender● Área forense
Referências● Ramashadran, Vivek. BackTrack 5 Wireless Penetration
Test: Beginner’s Guide. Packt Publishing, 2011.
● Kléber, Ricardo. Introdução à Análise Forense em Redes de Computadores: conceitos, técnicase ferramentas para “grampos digitais”. Novatec, 2013.
top related