Atacuri în rețeaea

Plan de curs
●
Atacuri asupra infrastructurii rețeleielei
●
Atacuri de nivel rețeleiea și transporti transport

2
Atacuri asupra infrastructurii
retelei

3
 Atacuri în rețeleiea
●
Securitatea unei rețeleiele este data de cea
mai slaba verigă a ei
●
Dacă un nivel este compromis, tot ce este
deasupra este compromis (efect domino)
●
Fiecare nivel al modelului ISO/OSI este
caracterizat prin tipuri de atac și transporti de măsuri
de protecțeleiie specifice
●
Nivelele joase sunt mai puțeleiin protejate în
comparațeleiie cu celelalte nivele
4
 Atacuri asupra suportului de
comunicare
●
Sunt folosite pentru a “vedea” ce date
circula pe mediu
●
Necesita acces fizic la mediu
●
Medii de comunicare:
– Cu ghidare
– Fără de ghidare

5
 Atacuri asupra suportului de
comunicare
●
Cablurile UTP
– atacul se rezumă la obțeleiinerea accesului la
firul de cupru
●
Wireless
– mediul este partajat și transporti foarte accesibil
– interceptarea datelor prevenită prin criptare
●
Fibra optică
– este mai greu de atacat
– este foarte uși transportor distrusă 6
 Atacuri asupra suportului de
comunicare
Dispozitiv pentru interceptarea datelor care
circulă prin fibra optică

7
Atacuri la nivel de legătură de date
●
Nivelul 2 este foarte puțeleiin protejat de atacuri
●
Atacurilor din rețeleieaua locala reprezintă o mare
parte tuturor atacurilor observate
●
Rețeleielele locale sunt elemente critice pentru
rețeleielele extinse deoarece constituie
infrastructura fizica a celor din urma

8
Atacuri la nivel de legătură de date
Tipuri de atacuri:
– atac CAM table flooding
– Schimbarea VLAN-ului (VLAN Hopping)
– ARP poisoning
– atac STP
– atacuri DHCP
– alte atacuri

9
 Atac CAM table flooding

Intruder Runs Attack Tool

Fill CAM Table

©Cisco 10
 Atac CAM table flooding

Switch Floods All

Traffic

Attacker Captures Traffic

©Cisco 11
 Atac CAM table flooding
●
Atac CAM table flooding
– exploatează dimensiunea limitata a tabelei
CAM și transporti comportamentul switch-ului in urma
umplerii tabelei
●
Metoda de protecțeleiie: Port Security
– specificarea adreselor MAC, precum si
numărul maxim de adrese MAC ce pot fi
învățeleiate pe o interfațeleiă

12
 Atacuri la nivel de legătură de date
●
VLAN hopping
– Legăturile de tip trunk au acces in toate VLAN-
urile
– DTP (Dynamic Trunking Protocol) reprezinta un
risc
– VLAN hopping prin exploatarea DTP
– O stațeleiie poate sa trimită un cadru care anun țeleiă
switch-ul ca are nevoie de o conexiune de tip
trunk
– Stațeleiia devine atunci membra in toate VLAN-urile
13
Atacuri la nivel de legătură de date
VLAN hopping

Modul de protecțeleiie: dezactivarea DTP

14
 VLAN hopping cu dubla incapsulare

●
Trimiterea de cadre cu dubla încapsulare .1Q
●
Trafic unidirecțeleiional
●
Atacul reuși transporteși transportte chiar dacă portul atacatorului nu
suporta trunk
●
NOTA: funcțeleiionează doar dacă conexiunea trunk are
același transporti VLAN nativ cu atacatorul

15
 VLAN hopping cu dubla încapsulare

Metode de protecțeleiie
●
Precizarea explicita a VLAN-ului nativ (trebuie evitata
folosirea VLAN 1 ca VLAN nativ)
●
Porturile care nu sunt folosite este bine sa fie plasate
intr-un VLAN nefolosit

16
 Atac ARP Spoofing

@Cisco 17
 Atacuri STP
Protocolul STP nu foloseși transportte autentificare → vulnerabil
Un atac STP are de obicei următorii pași transporti:
1. Conectare la rețeleieaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge

18
 Atacuri STP
Traficul dintre A și transporti B trece prin Switch1
• Switch2 este sistemul folosit de atacator
• Switch2 e conectat la rețeleiea și transporti anunțeleiă BPDU-uri cu BID=1
(prioritate 0)

19
 Atacuri STP
Traficul dintre A și transporti B trece acum prin Switch2
• Atacatorul poate porni o captură de trafic pe Switch2 pentru
a analiza comunicațeleiia dintre A și transporti B
• Soluțeleiii pentru protejarea STP: RootGuard, BPDU Guard,
BPDU Filter

20
 Alte atacuri de nivel legătura de
date
●
DHCP starvation:
– Obtinerea de adrese IP pe baza unor adrese MAC
fictive
– Se poate crea un server DHCP care sa redistribuie
adresele IP acaparate, astfel toate mesajele trec pe
la atacator
●
DNS spoofing: in urma unui MiM, răspunsurile
DNS pot fi alterate

21
Atacuri de nivel retea si
transport

23
 Tipuri de atacuri
●
Malicious software – proiectat pentru a se
infiltra într-un calculator fără consimțeleiământul
informat al proprietarului
●
Malware include:
– Viruși transporti
– Viermi
– Troieni

24
 Malicious software: virusi
●
Cod executabil atași transportat unui program sau executabil
●
Codul trebuie să fie rulat de un utilizator pentru a
avea efect
●
Se propagă prin:
– Atași transportamente de e-mail
– Fiși transportiere descărcate infectate
– Partajări de fiși transportiere în rețeleieaua locală
– Stick-uri USB

25
 Malicious software: viermi
Cod executabil ce foloseși transportte vulnerabilită țeleii pentru a
se răspândi
●
Spre deosebire de viruși transporti nu necesită interven țeleiia
directă a unui utilizator
●
Răspândire foarte rapidă
●
Dificil de înlăturat
●
Au adesea scopul de a partaja resurse de
procesare, stocare sau conexiune internet (de
exemplu botnet de trimitere spam)

26
 Malicious software: troieni
Cod executabil atași transportat unei aplicațeleiii
●
Spre deosebire de viruși transporti care au un efect direct,
troienii au un efect subtil
– Deschidere backdoor
●
Sunt mult mai greu de detectat decât viruși transportii

27
 Atacuri de recunoași transporttere
Constau în recoltarea informațeleiiilor despre o anumită rețeleiea
Se caută orice informațeleiie utilă care poate fi folosită în
desfăși transporturarea unui atac ulterior

Exemple de informațeleiii utile unui atacator:

●
IP-urile stațeleiiilor dintr-o rețeleiea
●
Serviciile ce rulează pe fiecare stațeleiie
●
Locațeleiia serviciilor în care utilizatorii rețeleielei au încredere
●
Vulnerabilitățeleii în versiunile serviciilor
28
 Atacuri de recunoași transporttere
Utilitar de recunoași transporttere: nmap
– Permite scanarea stațeleiiilor din rețeleiea
– Poate descoperi:
●
Statiile active (Ping scan)
attacker# nmap –sP 141.85.227.0/24
●
Informațeleiii despre sistemul de operare
attacker# nmap –O 141.85.227.116
●
Informațeleiii despre porturile deschise (Port Scan)
attacker# nmap –sP –p T:21-25,80 141.85.227.0/24
●
Informațeleiii despre servicii și transporti versiunea acestora (Service
Scan)
attacker# nmap –sV 141.85.227.118
29
 Atacuri de recunoași transporttere
Utilitar de recunoași transporttere: wireshark
– Permite interceptarea și transporti analiza traficului de re țeleiea
– Necesită trecerea interfețeleiei de rețeleiea în mod
promiscuous
●
În acest mod este primit orice trafic (chiar și transporti cel care nu
este destinat stațeleiiei locale)
– Utilizează formatul libpcap
●
Permite deschiderea fiși transportierelor de captură libpcap
ale altor utilitare (tcpdump, dynagen)

30
 Atacuri de recunoași transporttere
Utilitar de recunoași transporttere: tcpdump
– Folosit pentru captura din linie de comandă a
traficului
attacker# tcpdump –i eth0 –c 10 dst port 80

Utilitar de recunoași transporttere: whois

– Folosit pentru obtinerea informatiei despre un
domen
attacker# whois doogle.com

31
 Atacuri de recunoași transporttere
Utilitar pentru serviciul DNS: host
– Permite obțeleiinerea informațeleiiilor despre serverele de
nume și transporti de mail ale unui domeniu
attacker# host -t NS utm.md
attacker# host -t MX utm.md

32
 Atacuri DoS și transporti DDoS
Denial of Service
– Se trimite un număr mare de cereri pentru a preveni
procesarea cererilor normale
– Din cauza încărcării există inclusiv riscul ca aplicațeleiia să
întâmpine o eroare și transporti să se oprească
– Atacurile DoS se recunosc măsurând traficul în condițeleiii
normale
– Aparițeleiia unei anomalii poate indica un atac DoS
Ditrbuted Denial of Service
– Constau în trimiterea cererilor de la mai multe sisteme
către o singură țeleiintă
33
 Atac DoS: Smurf
●
Ping-uri către o adresă de broadcast cu o
adresă sursă spoofed
●
Toate stațeleiiile din rețeleieaua respectivă vor
răspunde către sursă
●
Dacă rețeleieaua este mare stațeleiia țeleiintă poate să
primească mai mult trafic decât poate procesa
– Efectul este imposibilitatea folosirii conexiunii la
Internet pentru uz normal

34
Atac DoS: Smurf

35
 Atac DoS: TCP SYN flood
●
Atacatorul inițeleiiază un număr mare de conexiuni TCP
cu un server, fără a termina handshake-ul ini țeleiial
(conexiuni half-open)
●
Respectivele conexiuni epuizează resursele
serverului, Acesta nu mai poate procesa cereri valide

36
 Atacuri de acces: spargere parole
●
Parolele trimise în clar (Telnet) pot fi obțeleiinute prin sniffing
●
Parolele cărora li s-a obțeleiinut hash-ul pot fi sparte prin:
– Brute force (se încearcă toate combinațeleiiile ce folosesc un set
de simboluri)
– Dictionary attack (se încearcă toate cuvintele din dicțeleiionar
împreună cu permutări simple)
– Cryptanalysis attack (Rainbow tables)
●
Brute force / dictionary attack pot fi aplicate direct pe
serviciul de autentificare, fără a avea hash-ul:
– Uși transportor de blocat prin adăugarea de limitări la autentificare (de
exemplu blocarea contului pentru 10 minute la 3 eși transportuări de
autentificare în decurs de un minut)
37
Atacuri de acces: spargere parole
cu Cain

38
 Atacuri de acces:
Exploatarea încrederii
●
Inițeleiial este compromis un sistem din rețeleiea
●
Sistemul compromis este folosit pentru a ataca mai
departe rețeleieaua

39
 Atacuri de acces:
Social Engineering
●
Se bazează pe extragerea informațeleiiilor confidențeleiiale de la
oameni
– Parole sau detalii financiare
●
Atacatorul trebuie să convingă potențeleiialele țeleiinte că este de
încredere
●
Este probabil ca țeleiinta respectivă să nu fie de profil tehnic și transporti să
aibă încredere în autoritatea atacatorului
– Atacatorul se poate da drept un membru al echipei tehnice
●
Oamenii nu sunt conși transporttiențeleii de valoarea informațeleiiei pe care o
posedă și transporti vor să ajute
●
Social engineering poate evita orice tip de securitate
– Exemplu: phishing
40
 Atacuri de acces:
Buffer overflow
●
Scriere de informațeleiie peste un buffer alocat
– Permite executarea de cod de atac sau crash-uirea
aplicațeleiiei
– Exemplu: scrierea în afara unui vector alocat pe stivă în
C poate permite suprascrierea adresei de întoarcere din
funcțeleiie
– Atacatorul poate provoca astfel sărirea peste o funcțeleiie
de verificare, obțeleiinând acces în sistem fără autentificare

41
 Intrebari
●
Ce înseamnă un atac de recunoași transporttere?
●
Atacul de recunoași transporttere este de tip activ sau
pasiv?
●
Care este pericolul major al unui atac de tip
Social Engineering?
●
Explicațeleii funcțeleiionarea atacului de tip smurf.

42