Document Text Contents
Page 1
Introdução à
Segurança
de Redes
Ivo Peixinho
Page 2
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
( M C T I ) e r e s p o n s á v e l p e l o
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Page 104
84
In
tr
o
d
u
çã
o
à
Se
gu
ra
n
ça
d
e
R
ed
es
qProtocolo de roteamento dinâmico.
1 Ausência de mecanismos de autenticação.
1 Proporciona anúncio indevido de rota falsa.
1 Exemplo: RIP.
Prevenção.
1 Uso de roteamento estático ou manual.
1 Uso de protocolos mais modernos com autenticação: RIPv2 e OSPF.
SYN flood
Ataques de Flood ou Flooding consistem em “inundar” um sistema ou canal de comunicação,
numa tentativa de utilizar ao máximo os recursos e causar um DoS.
qPopular ataque de negação de serviço (DoS), afeta critério de disponibilidade.
Entendendo o ataque:
1 Envio de pacotes SYN com endereços de origem randômicos (IP spoofing).
1 Excesso de conexões no servidor sem confirmação.
1 Estouro de buffer: novas conexões não são aceitas até o esvaziamento do buffer
(DoS); ataque contínuo.
Prevenção.
1 Não existe solução 100% segura.
1 Configurações específicas para cada Sistema Operacional.
Atacante Vítima
SYN
Te
m
p
o
Algumas sugestões de configuração visando mitigar esse tipo de ataque em sistemas Linux.
/etc/sysctl.conf → net.ipv4.tcp_syncookies=1
Firewall iptables:
# chama chain flood
$iptables –A INPUT –p tcp –syn –j flood
# cria chain flood
$iptables –n flood
$iptables -A flood –m limit –limit 12/second –-limit-burst 24 –j return
$iptables -A flood -j log_flood
Figura 5.3
Ataque SYN flood.
Page 105
85
C
ap
ít
u
lo
5
-
A
rq
u
it
et
u
ra
T
C
P/
IP
e
s
eg
u
ra
n
ça
Apesar de muitos fabricantes terem tomado medidas para diminuir os efeitos desse ataque,
ainda não existe uma forma 100% eficiente para impedi-lo.
Smurf
qAtaque do tipo DoS, que usa o recurso directed broadcast da pilha TCP/IP.
Entendendo o ataque:
1 Atacante descobre uma lista de endereços que podem ser utilizadas como
redes amplificadoras.
1 Atacante “pinga” broadcast das redes (echo request) com IP da vítima (IP spoofing).
1 Redes respondem com echo reply, inundando a vítima com pacotes ICMP.
Prevenção:
1 Filtrar broadcast.
1 Roteador Cisco: no IP “directed-broadcast”.
2 Kernel Linux: “/etc/sysctl.conf g net.ipv4.icmp_echo_ignore_broadcasts=1”
Rede
amplificadora 1
Rede
amplificadora 2
Rede
amplificadora 3
Rede
amplificadora 4
Rede
amplificadora 5
Atacante
Vítima
Brodcasts falsificados
Respostas amplificadas
Infelizmente, não existe forma eficiente de a vítima se proteger, mas as redes amplificadoras
podem bloquear pacotes directed broadcast. Toda difusão externa à rede deve ser blo-
queada no primeiro roteador disponível.
Modelo de ataque fraggle
qTodas as máquinas que receberam o datagrama UDP com IP de origem forjado res-
pondem para a máquina vítima com ICMP Type3.
Mais informações sobre
SYN flood podem ser
encontradas em:
http://www.cert.org/
advisories/CA-1996-21.
html e http://cr.yp.to/
syncookies.html
w
Figura 5.4
Ataque smurf.
Mais informações
podem ser obtidas no
endereço: http://www.
cert.org/advisories/
CA-1998-01.html
w
http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1996-21.html
Page 207
Ivo de Carvalho Peixinho é Bacharel
em Ciência da Computação pela UFBA
e Especialista em Gestão de Segurança
da Informação pela UnB. Possui mais
de 15 anos de experiência na área de
Segurança da Informação. Foi Diretor
Técnico na XSite Consultoria e Tecnolo-
gia e Analista de Suporte na Universidade Federal da Bahia.
Em 2004 atuou como Analista de Segurança Sênior no CAIS/
RNP por dois anos, e atualmente é Perito Criminal Federal
do Departamento de Polícia Federal desde 2007, lotado no
Serviço de Repressão a Crimes Cibernéticos - SRCC/CGPFAZ/
DICOR/DPF. É professor de pós-graduação nas disciplinas
de Análise Forense em Sistemas Unix e Análise de Malware,
e é palestrante em diversos eventos nacionais e internacio-
nais como GTS, Seginfo, CNASI, ICCyber e FIRST.
Page 208
ISBN 978-85-63630-23-0
9 788563 630230
O livro de apoio ao curso Introdução à Segurança de
Redes fornece conhecimentos introdutórios da área de
segurança, através da apresentação dos conceitos bási-
cos sobre segurança de redes, com apoio de atividades
práticas em laboratório. Aborda a história da seguran-
ça física e lógica, apresenta um panorama atual da área
(vulnerabilidades, tipos de ataques mais comuns, esta-
tísticas), arquitetura TCP/IP (endereçamento, serviços,
-
drões e normas de segurança da informação.
Este livro inclui os roteiros das atividades práticas e o
conteúdo dos slides apresentados em sala de aula,
-
mento em suas organizações ou localidades de origem.
LI
VR
O
D
E
A
PO
IO
A
O
C
U
RS
O
Introdução à
Segurança
de Redes
Ivo Peixinho
Page 2
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
( M C T I ) e r e s p o n s á v e l p e l o
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Page 104
84
In
tr
o
d
u
çã
o
à
Se
gu
ra
n
ça
d
e
R
ed
es
qProtocolo de roteamento dinâmico.
1 Ausência de mecanismos de autenticação.
1 Proporciona anúncio indevido de rota falsa.
1 Exemplo: RIP.
Prevenção.
1 Uso de roteamento estático ou manual.
1 Uso de protocolos mais modernos com autenticação: RIPv2 e OSPF.
SYN flood
Ataques de Flood ou Flooding consistem em “inundar” um sistema ou canal de comunicação,
numa tentativa de utilizar ao máximo os recursos e causar um DoS.
qPopular ataque de negação de serviço (DoS), afeta critério de disponibilidade.
Entendendo o ataque:
1 Envio de pacotes SYN com endereços de origem randômicos (IP spoofing).
1 Excesso de conexões no servidor sem confirmação.
1 Estouro de buffer: novas conexões não são aceitas até o esvaziamento do buffer
(DoS); ataque contínuo.
Prevenção.
1 Não existe solução 100% segura.
1 Configurações específicas para cada Sistema Operacional.
Atacante Vítima
SYN
Te
m
p
o
Algumas sugestões de configuração visando mitigar esse tipo de ataque em sistemas Linux.
/etc/sysctl.conf → net.ipv4.tcp_syncookies=1
Firewall iptables:
# chama chain flood
$iptables –A INPUT –p tcp –syn –j flood
# cria chain flood
$iptables –n flood
$iptables -A flood –m limit –limit 12/second –-limit-burst 24 –j return
$iptables -A flood -j log_flood
Figura 5.3
Ataque SYN flood.
Page 105
85
C
ap
ít
u
lo
5
-
A
rq
u
it
et
u
ra
T
C
P/
IP
e
s
eg
u
ra
n
ça
Apesar de muitos fabricantes terem tomado medidas para diminuir os efeitos desse ataque,
ainda não existe uma forma 100% eficiente para impedi-lo.
Smurf
qAtaque do tipo DoS, que usa o recurso directed broadcast da pilha TCP/IP.
Entendendo o ataque:
1 Atacante descobre uma lista de endereços que podem ser utilizadas como
redes amplificadoras.
1 Atacante “pinga” broadcast das redes (echo request) com IP da vítima (IP spoofing).
1 Redes respondem com echo reply, inundando a vítima com pacotes ICMP.
Prevenção:
1 Filtrar broadcast.
1 Roteador Cisco: no IP “directed-broadcast”.
2 Kernel Linux: “/etc/sysctl.conf g net.ipv4.icmp_echo_ignore_broadcasts=1”
Rede
amplificadora 1
Rede
amplificadora 2
Rede
amplificadora 3
Rede
amplificadora 4
Rede
amplificadora 5
Atacante
Vítima
Brodcasts falsificados
Respostas amplificadas
Infelizmente, não existe forma eficiente de a vítima se proteger, mas as redes amplificadoras
podem bloquear pacotes directed broadcast. Toda difusão externa à rede deve ser blo-
queada no primeiro roteador disponível.
Modelo de ataque fraggle
qTodas as máquinas que receberam o datagrama UDP com IP de origem forjado res-
pondem para a máquina vítima com ICMP Type3.
Mais informações sobre
SYN flood podem ser
encontradas em:
http://www.cert.org/
advisories/CA-1996-21.
html e http://cr.yp.to/
syncookies.html
w
Figura 5.4
Ataque smurf.
Mais informações
podem ser obtidas no
endereço: http://www.
cert.org/advisories/
CA-1998-01.html
w
http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1996-21.html
Page 207
Ivo de Carvalho Peixinho é Bacharel
em Ciência da Computação pela UFBA
e Especialista em Gestão de Segurança
da Informação pela UnB. Possui mais
de 15 anos de experiência na área de
Segurança da Informação. Foi Diretor
Técnico na XSite Consultoria e Tecnolo-
gia e Analista de Suporte na Universidade Federal da Bahia.
Em 2004 atuou como Analista de Segurança Sênior no CAIS/
RNP por dois anos, e atualmente é Perito Criminal Federal
do Departamento de Polícia Federal desde 2007, lotado no
Serviço de Repressão a Crimes Cibernéticos - SRCC/CGPFAZ/
DICOR/DPF. É professor de pós-graduação nas disciplinas
de Análise Forense em Sistemas Unix e Análise de Malware,
e é palestrante em diversos eventos nacionais e internacio-
nais como GTS, Seginfo, CNASI, ICCyber e FIRST.
Page 208
ISBN 978-85-63630-23-0
9 788563 630230
O livro de apoio ao curso Introdução à Segurança de
Redes fornece conhecimentos introdutórios da área de
segurança, através da apresentação dos conceitos bási-
cos sobre segurança de redes, com apoio de atividades
práticas em laboratório. Aborda a história da seguran-
ça física e lógica, apresenta um panorama atual da área
(vulnerabilidades, tipos de ataques mais comuns, esta-
tísticas), arquitetura TCP/IP (endereçamento, serviços,
-
drões e normas de segurança da informação.
Este livro inclui os roteiros das atividades práticas e o
conteúdo dos slides apresentados em sala de aula,
-
mento em suas organizações ou localidades de origem.
LI
VR
O
D
E
A
PO
IO
A
O
C
U
RS
O
