Ps em Auditoria e Segurana de Sistemas de Informaes na Faculdade de

Paraso.
30 e 31/08/2014.
Alunos: Eliane Maiara A. Oliveira, Jose willess do Vale Junior, Jose Claudio
F. Silva
INDIQUE 2 ATAQUES REALIZADOS A CADA CAMADA AO MODELO TCP/IP BASEADO NO OSI

CAMADA DE ENLACE:
Ataque MAC - O resultado desse ataque um comportamento adotado pelo switch
quando ele no consegue encontrar um endereo em sua tabela, ele envia os quadros
recebidos para todas as suas portas, passando a se comportar como um Hub. Com
esse comportamento possvel realizar um ataque de man-in-the-middle monitorando
o trfego da rede. Este tipo de ataque, tambm conhecido como ataque do homem do
meio, um cenrio no qual o atacante intercepta a comunicao entre dois hosts e
falsifica as mensagens a fim de fazer-se passar por uma das partes.
SOLUO:
Para resolver esse problema preciso utilizar switches gerenciveis que possuam
ferramentas de segurana para controlar os dados que trafegam por cada porta, alm
disso, deve-se realizar um monitoramento refinado dos dados que trafegam pela rede
a fim de detectar o uso no autorizado de ferramentas de monitoramento.

Ataques ARP - O acrnimo ARP significa Address Resolution Protocol, e um dos

protocolos mais utilizados para mapear endereos IP para endereo MAC, alm de ser
essencial para a comunicao TCP/IP. Dentro de um mesmo segmento de
rede computadores trocam mensagens ARP uns com os outros para encontrar o
endereo MAC baseados no endereo IP que possuem. Por ser um protocolo muito
simples ele no possui muitos recursos de segurana, o que acaba abrindo uma
brecha para possveis ataques. O ataque mais conhecido para se aproveitar da
simplicidade do protocolo ARP o ARP Spoofing, e consiste no envio de endereos IP
ou MAC falsos causando ataques como a negao de servios e o man-in-the-middle.
SOLUO:
Uma das formas de se evitar estes ataques adicionando os pares IP/MAC
manualmente na tabela ARP dos computadores na rede, o que ajudaria a eliminar
alguns cenrios de ataque ARP Spoofing, mas est longe de ser uma soluo vivel,
uma vez que, em redes de grande porte, seria quase que impossvel manter um
controle adequado. Outra soluo que ajudaria a amenizar esse problema seria utilizar
ferramentas de monitoramento e auditoria, dessa forma seria possvel averiguar com
mais rapidez comportamentos anormais no trfego da rede.
CAMADA DE REDE:
Sniffing de pacotes - uma tcnica bastante utilizada por atacantes para monitorar
o trfego em redes comutadas. Quando se fala em sniffing de pacotes, significa que

para capturar o trfego IP so utilizadas ferramentas

como dsniff, tcpdump,wireshark e outros. Uma vez que os dados das camadas
superiores so encapsulados em pacotes IP, todas as informaes das camadas
superiores podem ser divulgadas ao se desencapsular os pacotes IP. Protocolos
como POP3, SMTP, SNMP e outros, transmitem senhas em texto plano, e por isso, ao
se decodificar pacotes IP capturados podem ser encontrados dados sensveis.
SOLUO:
Uma boa soluo para resolver esse problema a implantao de um bom esquema
de segurana na camada de enlace com switches gerenciveis, permitindo uma
reduo drstica no sucesso dos sniffers na rede. Alm disso, a criao
de VPNs criptografadas usando IPSecou outros meios de encriptao diminuir
bastante a possibilidade de captura dos dados de forma legvel.
Ataques ICMP - O ping uma das ferramentas ICMP mais utilizadas para verificar
conectividade, mas tambm pode ser utilizada como ferramenta de ataque de negao
de servio. Um ataque bastante comum, mas que pode ser facilmente resolvido o
ICMP flooding, que utiliza a ferramenta ping para inundar o link da vtima com pacotes
ICMP.
SOLUO:
Esse tipo de ataque pode ser interrompido atravs da utilizao de um firewall que
permita a limitao do nmero de mensagens ICMP.

CAMADA DE TRANSPORTE:
Ataques TCP - O Land um ataque que quando foi efetivado criou muitos problemas
em vrias verses do Unix e em todas as verses do Windows, nem mesmo os
roteadores Cisco escaparam deste ataque. Ele realizado usando um pequeno
programa escrito em C (land.c) que envia pacotes SYN para um host em uma porta
TCP aberta, com endereo e porta de origem falsificados, mas no qualquer
endereo, o endereo do prprio host que est sendo atacado (por exemplo: pacote
enviado para 192.168.5.1 na porta 140, com o endereo de origem deste pacote
192.168.5.1 para porta 140).
SOLUO:
Esse tipo de ataque leva paralisao da mquina, gerando uso de at 100% de CPU,
e para resolv-lo basta instalar um firewall capaz de detectar ataques Land nas
estaes de trabalho.

Ataques UDP - Uma vez que o UDP um protocolo simples e no orientado a

conexo, a nica forma que o UDP pode ser afetado enviando uma grande
quantidade de pacotes UDP para portas aleatrias na mquina atacada. Este tipo de
ataque conhecido como UDP Flooding.
A mquina atacada tentar determinar para qual aplicao o pacote destinado, se
nenhuma aplicao estiver escutando na porta UDP especificada o pacote ser
descartado. Ao inundar a mquina da vtima com esses pacotes ele poder sofrer uma
sobrecarga, resultando na falha do sistema.
SOLUO:

Para resolver esse problema basta usar o iptables para limitar a quantidade de
pacotes em um determinado intervalo de tempo.
CAMADA DE APLICAO:
Ataques ao Mail Transport Agents (MTA) - O servio de e-mail juntamente com
seu protocolo SMTP um dos mais populares da Internet e um dos mais antigos
tambm. Por padro o servidor SMTP recebe pedidos de conexo na porta 25. Os
problemas mais comuns em servidores de e-mails so: buffer overruns e heap
overflows que podem ser utilizados por atacantes remotos ou locais para comprometer
o servidor; o problema conhecido como retransmissor aberto (open relay) resultado
da m configurao, permite que usurios mal intencionados utilizem o servidor de emails para distribuir spams, causando grande prejuzo para a organizao quando o
seu servidor inserido em uma lista negra de servidores de e-mail, alm do fato dos
spams consumirem muita largura de banda.
SOLUO:
Para solucionar o problema deve-se pedir as rgos internacionais a excluso do email da lista negra. E configurar para recebimento s no mbito interno.
Ataques ao Open Secure Sockets Layer (OpenSSL) - O OpenSSL uma das
opes mais populares para se utilizar em aplicaes que precisam de criptografia
para suporte a redes de comunicao. Vrias aplicaes utilizam o OpenSSL dentre as
quais destacam-se o Apache (conexes http seguras), Sendmail, OpenLDAP e
OpenSSH. Vulnerabilidades no OpenSSL afetam todas as aplicaes que a utilizam.
Dependendo das funes utilizadas pelo aplicativo, as vulnerabilidades podem ser
exploradas atravs da prpria aplicao para executar cdigo arbitrrio no servidor ou
mesmo para obter privilgios de root.
SOLUO:
diminuir as vulnerabilidades se faz necessrio a adoo de atitudes como: identificar
as verses do OpenSSL instalados nos servidores, caso seja necessrio atualize para
as verses mais recentes e se as aplicaes usando OpenSSL no exigem conexes de
usurios desconhecidos, crie regras de firewall para permitir conexes apenas de sites
confiveis.

Faa uma redao indicando passo-a-passo, qual procedimentos devem ser tomados aps um
ataque de disponibilidade da rede.

Utiliza ferramentas para descobrir qual a origem e tipo do ataque;

Fazer a verificao dos logs, verificar se o ataque foi de origem interna ou
externa, verificar os detalhes do ataque;
Tomar medidas de controle (preventivas), para dificultar uma possvel
reincidncia;
Tomar medidas de controle (preventivas), para dificultar uma possvel
reincidncia;
Fazer relatrio do ataque sofrido para usar como meio de consulta de
procedimento se houver necessidade posteriormente
Tomar medidas para Reestabelece a conexo (tornar disponvel novamente);

Em posse de relatrios proceder no sentido de tomar medidas cabveis atravs de meios legais
para punio dos invasores.