Segurança
Ataques na camada 3 (IP)
Seg 30 Abr 2007 10:52 |
- Detalhes
- Categoria: Falhas e Exploits
- Atualização: Segunda, 23 Março 2009 14:26
- Autor: vovó Vicki
- Acessos: 15773
Cada uma das camadas de comunicação tem seus próprios desafios de segurança. A Camada de Rede (camada 3 no modelo OSI) é especialmente vulnerável a muitos ataques de negação de serviço (Denial of Service - DoS) e apresenta muitos problemas na privacidade de informações. O IP (Internet Protocol) é o protocolo mais usado nesta camada. Os principais riscos de segurança na camada de rede associados ao IP são os seguintes:
IP Spoofing
O atacante envia mensagens para um host com um endereço IP indicando que a mensagem foi enviada por um host confiável. É óbvio que este endereço é forjado e não corresponde ao da máquina do invasor. O propósito do atacante é conseguir um acesso não autorizado na máquina alvo ou até em outros hosts. Para preparar um ataque de Imitação de IP, o hacker usa várias técnicas para descobrir o endereço IP de um host confiável e para modificar os cabeçalhos dos pacotes para que pareçam se originar do host confiável.
Ataques de Roteamento (RIP)
O Protocolo de Informação de Rota (Routing Information Protocol - RIP) é usado para distribuir informações entre redes do tipo rotas mais curtas (shortest-path). Também indica as rotas de saída numa rede local. O RIP não possui um sistema de autenticação e a informação fornecida por um pacote RIP geralmente é usada sem uma prévia verificação. Um atacante pode forjar um pacote RIP avisando que determinado host (o dele, é claro) tem a rota mais rápida para se sair de uma rede alvo. Como consequência, todos os pacotes da rede alvo serão enviados para o host do atacante para serem roteados, onde podem ser examinados ou modificados.
O RIP também pode ser usado para assumir a identidade de qualquer host, o que faz com que todo o tráfego destinado ao host verdadeiro seja desviado para a máquina do atacante.
Ataques ICMP
O ICMP é usado pela camada IP para enviar mensagens que não exigem resposta. Estas mensagens apenas levam informações para um host. Não existe autenticação no ICMP o que possibilita ataques de negação de serviço (Denial of Service - DoS) e a interceptação de pacotes. Ataques DoS geralmente usam as mensagens "Time exceeded" (tempo esgotado) e "Destination unreachable" (destino não alcançável) do ICMP. Ambas podem fazer com que um host corte imediatamente uma conexão. Um atacante pode interromper conexões enviando uma destas mensagens para um ou para dois hosts que estejam se comunicando. O resultado é a queda da conexão.
A mensagem ICMP "Redirect" (redirecionar) é comumente usada em gateways quando um host concluiu erroneamente que o destino do pacote está fora da rede local. Forjando uma mensagem "Redirect", o atacante pode iludir outro host e fazer com que mande pacotes para determinada conexão através da máquina do atacante.
PING Flood (ICMP Flood)
O PING é um dos usos mais comuns do ICMP. Ele envia um "Echo Request" (solicitação de eco) para um host e espera até que este host devolva uma mensagem "Echo Reply" (resposta de eco). Como a máquina é obrigada a responder um PING com um PONG, um atacante simplesmente manda zilhões de "Echo Request" para a vítima (daí o nome inundação de pings). Obrigado a responder sem parar, o sistema entra em colapso ou fica muito lento. Este é um ataque muito fácil de ser feito porque existem vários programas que fazem ping e não exige grandes conhecimentos. Qualquer atacante pé de chinelo pode pingar sem maior esforço.
Ping of Death
No ataque Ping da Morte um atacante envia um pacote ICMP solicitando ECHO que é muito maior do que o tamanho máximo permitido para os pacotes IP da vítima. Como o pacote de requisição é muito maior do que o normal, a vítima não consegue recompor os pacotes e o sistema operacional trava ou é reiniciado com um reboot.
Ataque Teardrop
No Ataque da Lágrima o atacante usa o programa Teardrop para enviar fragmentos IP que não podem ser reagrupados porque o valor do offset do pacote foi adulterado. O montão de fragmentos dispersos provoca um reboot ou congela o sistema da vítima. Existem vários outros programas safados como este: targa, SYNdrop, Boink, Nestea Bonk, TearDrop2, NewTear, etc. O melhor remédio para um ataque deste tipo é rebootar a máquina "intoxicada".
Packet Sniffing
Como a maioria das aplicações de rede distribuem pacotes em texto claro e legível, um farejador de pacotes pode extrair informações preciosas e sensíveis como nome de usuário e senha de contas e registros. Também é possível farejar informações extraídas de bancos de dados - pior do que isto, é possível descobrir o usuário e a senha de acesso a estes bancos de dados. Tudo isto é um problema seríssimo, já que fere a privacidade e é uma arma perfeita para crimes.
Observações
Como na maioria dos problemas de segurança de rede, não existe uma solução mágica. Há muitas tecnologias e soluções disponíveis para amenizar os problemas de segurança citados e para monitorar a rede para reduzir os estragos em caso de ataques. Problemas como a inundação de pings podem ser significantemente reduzidos colocando-se firewalls nos pontos críticos da rede para filtrarem tráfego não desejado e de origem duvidosa. Utilizando o IPsec VPN na camada de rede, autenticação de sessões e usuários (ou host) e encriptação de dados na camada de enlace de dados, o risco de IP Spoofing e de Packet Sniffing é reduzido significativamente. O IPv6, associado ao IPsec, oferece mecanismos de segurança melhores para a comunicação em nível de rede e acima.
- Anterior
- Próximo >>