- Polis Educacional
Transcrição
- Polis Educacional
Danilo Venchiarutti da Silva RA: 0402030 Segurança em redes Wi – Fi e Ethernet Jaguariúna 2007 Danilo Venchiarutti da Silva RA: 0402030 Segurança em redes Wi – Fi e Ethernet Monografia apresentada à disciplina Trabalho de Conclusão de Curso, do curso de Ciência da Computação da Faculdade de Jaguariúna, sob orientação do Professor Carlos Alessandro Bassi Viviani, como exigência parcial para conclusão do curso de graduação. Jaguariúna 2007 1 SILVA, Danilo Venchiarutti da. Segurança em redes Wi-Fi e Ethernet. Monografia defendida e aprovada na FAJ dia 12 de Dezembro de 2007 pela banca examinadora constituída pelos professores: ____________________________________ Professor Carlos Alessandro Bassi Viviani FAJ – Orientador ______________________________________ Professor José Arnaldo Geraldini Nunes FAJ – Convidado ______________________________________ Professor Mauricio Tadeu Teixeira POLICAMP – Convidado 2 A minha família, a minha namorada e aos meus amigos 3 SUMÁRIO 1. INTRODUÇÃO…………………………………………………………………..……………....6 2. OBJETIVOS………...…………………………………………………………..……………….8 3. REDES ETHERNET... .......................................................................................................9 3.1 Topologia em anel ……………………..…………………………………………….............9 3.2 Topologia de barramento................................................................................................10 3.3 Topologia estrela...........................................................................................................11 3.4 Padrões de redes Ethernet.............................................................................................12 4. REDES WI-FI....................................................................................................................15 4.1 Padrões de redes ...........................................................................................................15 5. MECANISMOS DE SEGURANÇA..................................................................................18 5.1 MAC Address..................................................................................................................18 5.2 WEP……………………………………………………………………………………………18 5.3 WPA................................................................................................................................19 5.4 Criptografia......................................................................................................................20 5.5 IDS...................................................................................................................................23 5.6 Firewall ...........................................................................................................................24 5.7 Antivirus ..........................................................................................................................26 5.8 wIDS................................................................................................................................27 6. RISCOS E VULNERABILIDADES....................................................................................28 6.1 Sniffers ...........................................................................................................................28 6.2 Spoofing .........................................................................................................................29 6.3 DoS ................................................................................................................................29 6.4 DDos ..............................................................................................................................30 6.5 Malware .........................................................................................................................32 6.6 Virus ...............................................................................................................................32 6.7 Trojan .............................................................................................................................36 6.8 Worms ............................................................................................................................36 6.9 Hackers ..........................................................................................................................37 7. FERRAMENTAS DE ATAQUE.........................................................................................38 8. CONCLUSÃO...................................................................................................................40 9. REFERÊNCIAS BIBLIOGRAFICAS .............................................................................43 10. ASSINATURAS ................................................................................................ .........44 4 Lista de Figura Figura 1 - Topologia de rede em anel, indicado pela seta o sentido horário.......................10 Figura 2 - Conector T da topologia em barra.......................................................................11 Figura 3 - Topologia em Barra.............................................................................................11 Figura 4 - Topologia de rede em estrela .............................................................................11 Figura 5 - Processo para encriptar e decriptar a informação..............................................20 Figura 6 - Geração da chave para algoritmos assimétricos................................................22 Figura 7 - Para encriptar e decriptar a informação..............................................................23 Figura 8 - Firewall................................................................................................................25 Figura 9 - Gráfico de infecções ano de 2007 período de Janeiro a Outubro......................35 5 1. INTRODUÇÃO As redes de computadores surgiram com o objetivo de facilitar o compartilhamento mais eficiente de recursos como aplicações, equipamentos e dados, independente da localização física desses recursos ou dos próprios usuários das redes. A rede é um meio de comunicação e de compartilhamento de dados, por isso tem que ser o mais segura possível, (uma vez que todas as existentes não são cem por cento seguras), pois é um alvo de vários tipos de ataque, como tentativas de invasões de exfuncionário, hackers, vírus e tantos outros que veremos no decorrer desse trabalho. Será apresentado nesse trabalho as vulnerabilidades das redes sem fios (redes WI-FI) e também as falhas de segurança das redes que fazem comunicação através de cabos, que são as redes com cabemento, (atualmente ainda são as mais usadas), veremos em quais podemos depositar mais nossa confiança e também quais os meios de evitar que estas sejam invadidas. Uma vez que a rede é invadida, podem ocorrer problemas muito sérios, como roubo de informação, que informações importantes de uma empresa sejam apagadas, comprometimento total da rede, pois uma vez que ocorra em uma estação da rede, todas as outras estações estarão comprometidas, porque os dados são compartilhados. Veremos os padrões existentes nas redes WI – FI ( rede sem fio ), e também os padrões de redes ligadas por cabo, mostrando a distancia de comunicação que pode ser realizado o compartilhamento dos dados, e também se ocorre alguma perda de comunicação e o porquê e quais os fatores que fazem que isso ocorra. As redes sem fio denominadas WI – FI estão começando a se disseminar em grande parte do mercado, as empresas estão se adequando a essa nova tecnologia e também se especializando em questões designadas aos meios de segurança, pois sempre que uma tecnologia é lançada no mercado, apresentam falhas e essas podem causar sérios danos se tratando em segurança, ainda mais grave se for de âmbito empresarial. Cabe aos administradores de redes zelar pela segurança das redes, desabilitando pontos de redes nos racks em ambientes de redes cabeadas e autorizando os respectivos endereços MAC ( endereço encontrado nas placas de redes,que são compostas por doze números hexadecimais, onde os seis primeiros são designados a identificação do fabricante ) nas redes sem fio, entre outras técnicas que compõe esse trabalho. Segundo Andrew S. Tanenbaum “A rede aumenta a confiabilidade do sistema, pois tem fontes alternativas de fornecimento.” Entre outras fontes relacionados ao estudo de redes podem ser encontrados também em livros como Segurança de redes de sem fio escrito por Nelson Murilo de Oliveira Rufino, que demonstram um bom conteúdo e conhecimento em redes WI – FI e sobre redes 6 cabeadas podemos citar sobre o livro Aprenda redes em 24 horas de Matt Hayden e também Redes de Computadores de Andrew S. Tanenbaum. 7 2. OBJETIVOS Estudo sobre segurança em redes com fio e rede sem fio. Nesse tópico iremos analisar qual rede é a mais segura, mais se adapta as empresas, sendo que essas por obrigação tem o dever de olhar para a questão de segurança com maior preocupação, pois uma vez que uma empresa é invadida, pode colocar em risco todo o seu histórico e posteriormente também todo o seu futuro. Também demonstrar a usuários os perigos que existem, e como se precaver para não ser vítima de invasões causadas por hackers, vírus, spam, e outros riscos. Analisar os riscos apresentados para empresa e também para os usuários. Expor os pontos vulneráveis de cada sistemas de redes, as redes WI – FI e as cabeadas. Mostra qual o sistema de rede é mais usado pelas empresas e pelos usuários. Relatar em quais situações uma se destaca em relação a outra, veremos qual se adapta melhor as grandes estruturas( empresas ), e a pequenas LAN’s, como Lan-house, prédios, e as de pequeno porte. Comparação dos resultados inicias e finais. Demonstrar qual melhor se encaixa no dia-a-dia, qual tem menor vulnerabilidade a ataques, e qual apresenta maior status de defesa. Partindo desse principio, mostrar em qual podemos depositar maior confiança, para podermos ter uma base maior de conhecimento para que se possa realizar a escolha mais apropriada para o seu ambiente. 8 3. Redes Ethernet Segundo HAYDEN “são redes cabeadas, que se interligam através de cabos para poder haver comunicação entre as estações”. É mais fácil compreender as redes com cabeamento do que as redes wi-fi ( redes sem fio ), o motivo é simples, é tudo visível, os fios que são ligados entre as estações e outros dispositivos da rede, sejam eles hubs ou switch e qualquer outro dispositivo que faça com que a rede funcione. Como nas redes sem fio as redes ethernet também têm padrões e topologias. Topologia é a forma pelo qual que as estações irão se comunicar na rede. As topologias que são usadas estão descritas abaixo: Anel Barramento Estrela Existem vários padrões para as redes, e em cada padrão em particular é usado um determinado tipo de cabeamento, que também têm características bem particulares, essas características determinam a distancia que os dados poderão trafegar e a distancias pelo o qual os dados conseguirão chegar. 3.1 Topologia de rede em Anel A topologia de rede em anel consiste em estações conectadas através de um circuito fechado, em série, formando um circuito fechado (como um anel). O anel não interliga as estações diretamente, mas consiste de uma série de repetidores ligados por um meio físico, sendo cada estação ligada a estes repetidores. Redes em anel são capazes de transmitir e receber dados em qualquer direção. As configurações mais usuais, no entanto, são unidirecionais; o projeto dos repetidores é mais simples e torna menos sofisticados os protocolos de comunicação que asseguram a entrega da mensagem corretamente e em seqüência ao destino, pois sendo unidirecionais evita o problema do roteamento.O unidirecionamento pode ser no sentido horário ou anti-horário. 9 Figura 1 Topologia de rede em anel ( Wikipédia ), indicado pela seta o sentido horário 3.2 Topologia de Barramento Esta é a topologia física utilizada pelas redes Ethernet 10Base2, que utilizam cabos coaxiais. Neste tipo de rede um PC é ligado ao outro, usando vários segmentos de cabos e conectores T, que possuem o mesmo formato da letra, onde uma ponta é ligada na placa de rede e as outras duas são ligadas às estações vizinhas. Nas duas extremidades da rede temos terminadores, que absorvem os sinais, evitando que eles retornem na forma de interferência. Os dados são transmitidos para todos os PCs conectados, mas apenas o destinatário correto lê os pacotes dados. Também existem uma boa flexibilidade, já que para adicionar mais PCs é necessário apenas liga-los aos já existentes e o custo é baixo, já que não é necessário utilizar hubs. Apesar disso, as redes 10Base2 entraram em desuso, pois a velocidade ficou estacionada nos 10 megabits Abaixo segue a figura da topologia de rede em barramento e do conector T. 10 Figura 2 - Conector T da topologia em barra ( Guia do Hardware ) Figura 3 – Topologia em Barra ( UFRGS ) 3.3 Topologia Estrela A topologia estrela é caracterizada por um elemento central que "gerencia" o fluxo de dados da rede, (esse elemento central é denominado concentrador, hub ou switches), estando diretamente conectado a cada nó, daí surgiu a designação "Estrela". Toda informação enviada de um nó para outro deverá obrigatoriamente passar pelo ponto central, ou concentrador, tornando o processo muito mais eficaz, já que os dados não irão passar por todas as estações. O concentrador encarrega-se de enviar o sinal para as estações solicitadas, economizando tempo. Abaixo segue a figura da topologia de rede em estrela. Figura 4 Topologia de rede em estrela ( Wikipédia ) 11 3.4 Padrões de redes Ethernet Os padrões de rede determinam a velocidade em que os dados irão trafegar. Nas redes ethernet existem vários padrões para serem utilizados, mas para determinado tipo de cabeamento é escolhido um padrão, pois cada tipo de cabeamento tem como características particular seja essa pela velocidade que os dados podem trafegar ou pela distancia que os dados podem ser transmitidos. Vejamos abaixo os padrões existentes para as redes ethernet e as distancias de transmissão que são oferecidas para os diferentes tipos existentes. 10BASE2 São as redes coaxiais a distancia máxima para que haja comunicação sem que ocorra perda da transmissão é de 185metros. 10BASE5 Essas redes está entre os padrões 10BASE2 E 10BASE-T, as redes 10BASE5 tem como sua principal vantagem a distancia em que pode transmitir dados, a distancia máxima que essa rede pode transmitir é de 500metros. 10BASE-T O T mostrado nesse padrão é para representar que o material usado para ligar as estações é cabo de quatro pares trançados, mas esse padrão de rede opera com apenas dois dos quatros pares. O comprimento máximo de transmissão de dados para esse padrão é de 100metros. 100BASE-T Conhecidas também como Fast Ethernet, no qual a sua transmissão de dados chega aos 100Mbs, (cem Megabits por segundo), esse padrão também utiliza cabos de par trançado, e da mesma forma de padrão 10BASE-T utiliza apenas dois pares dos quatros existentes. O comprimento máximo de transmissão entre os dispositivos da rede é de apenas 20 metros 12 100BASE-FX As redes ethernet aumentaram o seu desempenho com o surgimento das fibras óticas, com a fibra as redes conseguem chegar a distancias muito maiores do que os padrões que utilizam cabos coaxiais e cabos de par trançado. O padrão 100BASE-FX utiliza o recurso da fibra ótica, as fibras não apresentam uma distancia máxima de para transmissão dos dados. 100BASE-T4 Esse padrão de rede utiliza cabo de par trançado, só que com uma diferença aos demais padrões que utilizam a mesma tecnologia, esse padrão utiliza os quatros pares que contem no cabo, e como o padrão 100BASE-T a distancia máxima para a transmissão dos dados entre os dispositivos é de 20 metros. Gigabit Ethernet O padrão de redes Ethernet que atinge a fantástica velocidade de transmissão de 1 gigabit por segundo, sucessor das atuais redes de 100 megabits. Existem diferentes padrões de interfaces Gigabit Ethernet, com suporte a cabos de fibra óptica, cabos Twiaxiais (um tipo especial de cabo coaxial composto por um par de cabos ao invés de apenas um) e mais recentemente também aos cabos de par trançado categoria 5e, os mesmos utilizados nas redes de 100 megabits atuais, que são muito baratos. Apesar do baixo custo dos cabos cat 5e ainda existe o problema do alto custo das placas, hubs e demais equipamentos de rede, embora os preços devam cair com o tempo. Cat 5e Os cabos de par trançado categoria 5e também são certificados para o uso em redes de 10 e 100 megabits, mas também nas redes Gigabit Ethernet, que transmitem dados a 1 gigabit por segundo. Os cabos categoria 5e são os mais comuns atualmente, com uma qualidade um pouco superior aos Cat 5. 13 Cat 6 Um novo padrão de cabos de cobre que suporta freqüências de até 550 MHz e utiliza cabos de quatro pares, semelhantes aos cabos de categoria 5 e 5e. Este padrão não está completamente estabelecido, mas o objetivo é usa-lo nas redes gigabit Ethernet. Resta saber se este padrão conseguirá substituir os cabos cat 5, que também suportam Gigabit Ethernet. Cat 7 Os cabos de rede categoria 7 são um novo padrão de cabos de rede de par trançado, capazes de trabalhar com frequências de 600 MHz, em contraste com os cabos cat 5 e cat 5e que suportam frequências de até 400 MHz. Os cabos cat 7 também utilizam 4 pares de fios, porém utilizam conectores mais sofisticados e são muito mais caros. Este padrão de cabos também deve ser suportado em algum padrão de rede Gigabit Ethernet, ou talvez venha a ser utilizado em alguma arquitetura de rede ainda mais rápida. 14 4. REDES WI – FI São as redes sem fio, essas redes trazem a mobilidade de acessar lugares de difícil acesso, e não precisam de cabos para estabelecer comunicação entre os computadores. O concentrador é um access point ( ponto de acesso ) onde faz a distribuição sinal da rede para as demais estações. Para poder se conectar a rede sem fio, é preciso ter uma placa de rede diferente a das redes cabeadas, a placa de rede a ser utilizada é a wireless que é responsável por realizar a comunicação com o meio, e partindo daí, podendo enviar e receber pacotes, compartilhar pastas, hardware, e todas as facilidades apresentadas pelas redes cabeadas que são as mais convencionais em termos de usabilidade. Existem padrões para definir o grupo de redes sem fio, esse padrão reúne especificações que definem como deve haver a comunicação entre uma estação cliente e um concentrador, ou a comunicação entre duas estações. As redes sem fio são classificas em 6 tipos de padrões, que determinam a sua velocidade de transmissão de arquivos,esses padrões veremos logo abaixo: 4.1 Padrões de redes Padrão 802.11b Padrão 802.11a Padrão 802.11g Padrão 802.11i Padrão 802.11n Padrão 802.11x Padrão 802.11b O primeiro sub padrão a ser definido, permite uma velocidade de 11Mbps de transmissão, porém pode se comunicar a velocidades mais baixas.Opera na freqüência de 2,4 GHz. Podendo ter um numero máximo de 32 dispositivos conectados. Em 1999 com comprovado e definido padrões bastante semelhantes aos da redes Ethernet. Hoje ainda é o padrão mais popular e com maior base de instalada.Existem mais ferramentas de segurança disponíveis. 15 Padrão 802.11a Criado após o padrão 802.11b, tendo seu fundamento em corrigir os problemas existentes no padrão anterior, o 802.11a apresenta em sua principal característica um grande salto na sua velocidade de transmissão de dados, que passa para 54Mbps ( chegando até a 108Mbps em seu modo turbo ), podendo também operar em velocidades mais baixas. Outra diferença apresentada pelo padrão é a taxa de freqüência que passa a operar a 5 Ghz, uma faixa com poucos concorrentes, porém limitado em área de alcance. Outra questão importante, é a capacidade de clientes conectados que passa a ter até 64. O principal problema que existe no padrão, é a questão de compatibilidade com o padrão anterior ( 802.11b), pois operam em faixas de freqüências distintas.Vários fabricantes tem investido em equipamentos desse padrão, mas é importante reforçar, que são para bases novas, uma vez que não é possível atualizar uma base já pré-existente devido a não compatibilidade da faixa de freqüência. Padrão 802.11g Este padrão é mais recente que os dois anteriores, e corrige alguns pontos do padrão 802.11a, pois opera na faixa de freqüência de 2.4 Ghz ( igual ao padrão 802.11b), facilitando a atualização da base existente, ou até mesmo trabalhando em conjunto com a mesma, outra vantagem é que sua velocidade de transmissão é de 54 Mbps. Observação: A velocidade é a mesma, mas existe a possibilidade do trabalho em conjunto com o padrão 802.11b, coisa que o padrão 802.11a não era possível. Padrão 802.11i Homologado em Junho de 2004, este padrão apresenta mecanismos de autenticação e privacidade e pode ser implementado em vários de seus aspectos aos protocolos existentes. O protocolo de rede definido é nomeado de RSN ( Robust Security Network ) ( Rede com Robusta Segurança ), permitindo comunicações muito mais seguras. Consiste ainda nesse padrão ( falando em segurança ) o protocolo WPA, que foi desenvolvido para prover soluções de segurança ainda mais robustas, pois o WPA tem em sua característica a 16 criptografia de dados, dificultando ainda mais a descoberta do que trafega por dentro do pacote. Padrão 802.11n Este padrão também é conhecido como WWISE ( World Wide Spectrum Efficiency ) sua principal característica é a velocidade de transmissão de dados que varia de 100 a 500 Mbps. Uma característica interessante desse padrão, é questão de compatibilidade com versões anteriores que estão em atuação atualmente. Esse padrão pode trabalhar com canais de 40Mhz e manter compatibilidade até 20 Mhz, mas nestes casos a velocidade máxima oscilam em média de 135Mbps. Padrão 802.11x Criado antes de todos os padrões apresentado e mesmo não sendo projetado para redes sem fio, esse padrão possui características que são complementares a redes sem fio. 17 5 . MECANISMOS DE SEGURANÇA Os mecanismos de segurança como o próprio nome diz, irá nos mostrar os meios e as ferramentas que temos para nos prevenir de ataques e infecções, que estamos sujeito uma vez que conectados a um mundo virtual, por onde trafegam todo tipo de dados. Nesse trabalho veremos os meios de se prevenir de ameaças, quais as ferramentas a serem usadas para evitar ameaças e ataques a nossa rede. Abaixo segue as ferramentas e os meios usados para banir invasões e ameaças, mais tarde veremos as atuações dos hackers e crackres, quais as ferramentas que são usadas para burlar a segurança das redes, e qual o risco existente por parte desses ataques. 5.1 MAC Address É o endereço MAC que existe em cada placa de rede, o endereço MAC é composto por doze números hexadecimais, onde os seis primeiros números são designados aos fabricantes das placas, essa numeração é controlado pelo IEEE ( Institute of Electrical and Eletronics Engineers ). Em questão de segurança, uma das formas encontradas para restringir acessos não autorizados a rede sem fio, é cadastrar apenas os dispositivos que irão fazer parte da rede. O endereço MAC identifica de forma única cada interface de rede, e apenas os dispositivos que foram cadastrados conseguirão a comunicação com a rede. 5.2 WEP ( Wired Equivalent Privacy ) WEP é um protocolo que utiliza algoritmos simétricos, onde existe uma “chave secreta” que deve ser compartilhada entre as máquinas da rede e o concentrador ( access point ), para que possa ser decifrado e também para cifrar dados que trafegam pela rede. O WEP apresenta alguns critérios do protocolo. Suficientemente forte Algoritmo deve ser adequado as necessidades do usuário Auto-sincronismo Deve permitir que um equipamento entre na rede e funcione com a mínima ou nenhuma intervenção manual. 18 Requerer poucos recursos computacionais Opera com equipamentos com baixo poder de processamento, não necessita de equipamentos “parrudos”. Exportável Deve ser compreendida a criptografia de outros países ( hoje existe restrições de alguns paises receberem a exportação da criptografia ). De uso opcional A mesma regra a ser seguida de medidas exportáveis. Funcionamento do WEP O WEP é baseado em processo criptográfico, que emprega uma chave de secreta de 40 ou 104 bits que é compartilhada entre os clientes e o access point da rede. Para tentar evitar ataques, adiciona-se um segundo elemento, que é criado através de um vetor de 24 bits,e seu conteúdo é gerado por uma função randômica ( ordem aleatória, sem uma seqüência de padrão de dígitos ) que será adicionado na chave , respectivamente ela passa a ter de 64 a 128 bits. Contudo o WEP apresentou algumas vulnerabilidades ( que serão apresentadas mais tarde ), com isso foi necessário que fosse realizado uma mudança, e surgi o WPA. 5.3 WPA ( WI – FI Protected Access ) Com a divulgação a tona dos problemas do WEP, era preciso que se criasse um novo sistema de segurança, surge o protocolo WPA que tratava os casos de criptografia com mais ênfase, apareceria também o EAP, um modelo de autenticação definido no WPA, era possível vários meios de autenticação e incluía a possibilidade de certificação digital. O protocolo WPA atua em duas áreas distintas, a primeira que visa substituir completamente o WEP, trata a cifração dos dados objetivando garantir a privacidade das informações trafegadas, e a segunda, foca a autenticação do usuário ( área que era coberta efetivamente pelo padrão WEP ) utiliza, para isso, padrões 802.1x e EAP ( Extensible Authentication Protocol ). 19 5.4 Criptografia Para entendermos o significado da palavra criptografia, temos que dividi-las em duas palavras, cripto e grafia, essas duas palavras derivam da Grécia e tem como tradução ao “pé da letra” esconder palavra. Criptografia é a forma de cifrar códigos, é o conjunto de técnicas que tornam uma mensagem incompreensível permitindo apenas ao destinatário que conheça a chave de encriptação possa decriptar e ler a mensagem com clareza. Existem duas formas de criptografar dados, uma das maneiras é o algoritmo simétrico e a outra forma de criptografrar dados é o algoritmo assimétrico.Vejamos as diferenças: Simétrico O algoritmo simétrico usa uma chave para encriptar os dados que são transmitidos. O funcionamento desse algoritmo é quando os dados passam por uma chave que encripta os dados e o destinatário que recebe a informação criptografada, decripta a informação, podendo assim compreender o seu conteúdo. Segue abaixo uma imagem que ilustra e nos ajuda a compreender melhor como é o funcionamento desse algoritmo. Figura 5 Processo para encriptar e decriptar a informação Uma das principais vantagens do algoritmo simétrico é a sua velocidade de execução em criptografar, ele consegue criptografar textos extensos em milésimos de segundo. 20 Uma outra vantagem que é importante destacar desse algoritmo, é a segurança, por se formar chaves pequenas, de até 128bits, com isso o algoritmo simétrico torna-se praticamente impossível de ser quebrado. A desvantagem desse algoritmo se dá pela igualdade da chave, a chave que é usada para criptografar é a mesma para decriptar a informação, com isso se um grande número de pessoas souber a chave, ela passa a não ser mais secreta. Existem vários algoritmos de chave simétrica, onde os mais conhecidos estão listados abaixo. DES ( Data Encryption Standard ) Utilizado pelo governo dos Estados Unidos em 1977, ele trabalha com uma chave de 56bits, e é o mais conhecido dos algoritmos. DESX Uma derivação do DES, a diferença em relação ao DES, é que ele trabalha com dupla chave de criptografia. TRI-DES Mais uma derivação do DES, trabalha com três chaves distintas, esse algoritmo é aplicado em instituições financeiras. Blowfish É um algoritmo compacto e simples, de domínio publico,capaz de utilizar uma chave de até 448bits. IDEA (Internation Data Encryption Algorithm ) Usa uma chave de 128bits e é a base do algoritmo PGP ( algoritmo utilizado em criptografia de correio eletrônico ). Esse algoritmo foi publicado em Zurique na Suíça em 1990. 21 RC2 Foi revelado por uma mensagem anônima em 1996. Esse algoritmo permite a utilização de chaves de 1 a 2048 bits RC4 Também foi mantido em segredo como o algoritmo RC2, mas foi revelado em 1994, e também permite a utilização de 1 a 2048 bits RC5 Algoritmo publicado em 1994, esse algoritmo permite que o usuário escolha o tamanho da chave, e também o tamanho do bloco a ser criptografado, possibilitando também que o usuário escolha o numero de vezes que os dados serão criptografados. Assimétrico O sistema assimétrico utiliza duas chaves para realizar a criptografia, uma denominada publica e outra denominada privada. O Par de chaves pode pertencer a pessoas ou a empresas, o código que é gerado de forma aleatória ( os números não estão em ordem, ficam embaralhados ). O processo da realização da geração das chaves ocorre quando existe a entrada das seqüência de dados, que passa pelo algoritmo e é gerado as duas chaves ( a chave publica e a chave privada ). Vejamos abaixo a figura que nos ajuda a interpretar o processo da geração da chave. Figura 6 Geração da chave para algoritmos assimétricos 22 A única pessoa que deve ter acesso a chave privada é apenas quem a criou, enquanto a chave publica ( como o próprio nome diz ) fica com os usuários e até em servidores. Com a chave publica pode se criptografar os dados que irão trafegar, mas apenas quem possui a chave privada é quem pode decriptar a informação. Podemos também usar esse processo de forma inversa, onde a chave privada encripta os dados e as chaves públicas decriptam , deixando assim que todos que pertençam a chave publica possa decripar os dados. Podemos ver abaixo como que é realizado o processo para criptografar e para decriptar os dados. Figura 7 Processo para encriptar e decriptar a informação 5.5 IDS – Sistema de identificação de intrusos Como o próprio nome diz, são softwares destinados a identificar e alertar sobre intrusos que procuram invadir computadores, demonstraremos brevemente abaixo, dois softwares o SNORT e o NESSUS e suas particularidades. 23 SNORT É um sistema capaz de analisar o tráfego da rede em tempo real. Baseia-se em uma base de dados para identificar os ataques. Ele usa uma linguagem flexível para determinação de regras que descrevem o trafego que deve ser analisado ou ignorado, como também oferece um mecanismo de detecção que utiliza uma arquitetura modular através de plug-in. O programa também tem potencialidade de gerar alertas em tempo real através de mensagens, logs, entre outros. NESSUS Ao contrario do SNORT que somente monitora e alerta as tentativas de invasão, o NESSUS identifica as vulnerabilidades dos sistemas existentes na rede. Ao invés de monitorar o trafego, ele realiza uma verificação de segurança no sistema, quando solicitado. O seu funcionamento é baseado em um conjunto de regras que definem ações a serem realizadas para identificar as vulnerabilidades. Ele utiliza uma arquitetura cliente-servidor, onde o servidor realiza os testes e o cliente apenas comanda as ações e recebe os resultados. 5.6 Firewall Firewall é uma barreira inteligente entre duas redes, geralmente a rede local e a Internet, através da qual só passa trafego autorizado. Este trafego é examinado pelo firewall em tempo real e a seleção é feita de acordo com um conjunto de regras de acesso. O firewall é tipicamente um roteador ( equipamento que liga as redes com a Internet ), um computador rodando filtragens de pacotes, um software proxy, um firewall-in-box ( um hardware propriamente especifico para função de firewall ), ou um conjunto desses sistemas. Podemos dizer que firewall é a soma de todas as regras aplicadas a rede. Geralmente essas regras são elaboradas considerando as políticas de acesso a organização. 24 Figura 8 - Firewall ( Intron ) De acordo com os mecanismos de funcionamento dos firewall`s podemos destacar três tipos principais: Filtro de pacotes Stateful firewall Firewall em nível de aplicações Filtro de pacotes Esse é o tipo de firewall mais conhecido e mais utilizado.Ele controla a origem e o destino dos pacotes de mensagens da Internet.Quando a mensagem é recebida, o firewall verifica as informações sobre o endereço IP de origem e de destino do pacote e compara com uma lista de regras de acesso para determinar se este pacote esta ou não esta autorizado ser repassado por ele. Atualmente a filtragem de pacotes de implementada na maioria dos roteadores e é transparente ao usuário, porem pode ser facilmente contornada com IP Spoofers. Por isso, o uso dos roteadores como única defesa para uma rede corporativa não é aconselhável. Mesmo que a filtragem de pacotes possa ser feita diretamente no roteador, para uma maior performance e controle, mesmo assim é necessário a utilização de um sistema de firewall. Firewall mais bem implementados podem defender a rede de ataques de DOS/DDOS e Spoofing ( que veremos mais a frente como funcionam esses tipos de ataques ). 25 Stateful Firewall Ele utiliza uma técnica chamada de Stateful Packet Inspection, que é um tipo avançado de filtragem de pacotes.Esse tipo de firewall examina todo o conteúdo do pacote, não apenas o seu cabeçalho, que contem apenas o endereço de origem e de destino da informação. Alem de serem mais rigorosos na inspeção dos pacotes, os stateful firewall podem ainda manter as portas fechadas ate que a conexão para a porta especifica seja requisitada. Isso permite maior proteção contra a ameaça de port scanning ( outra técnica de ataque, onde também veremos mais a frente ). Firewall em nível de aplicações Nesse tipo de firewall o controle é executado por aplicações especificas, denominadas proxies, para cada tipo de serviço a ser controlado. Essas aplicações interceptam todo o trafego recebido e o envia para as aplicações correspondentes; assim, cada aplicação pode controlar o uso de um serviço. Apesar de esse tipo de firewall ter uma perda maior de performance , já que ele analisa toda a comunicação utilizada pelos proxies, ele permite uma maior auditoria sobre o controle no trafego, já que as aplicações especificas podem detalhar melhor os eventos associados a um dado serviço. A maior dificuldade para a sua implementação é a necessidade de instalação de um proxy para cada aplicação, sendo que algumas aplicações não trabalham corretamente com esses mecanismos. 5.7 Antivirus O antivirus é uma ferramenta criada para impedir a contaminação de um computador por um vírus. A cada dia novos vírus são criados e suas variações surgem como pragas. Os programas antivírus verificam o conteúdo de cada arquivo em seu computador e buscam por informações. Fazem isso ao compará-lo com uma série de perfis – chamados Assinaturas de Vírus. Uma assinatura de vírus é a parte única daquele vírus, permitindo a identificação de sua presença. Pode ser um nome de arquivo, o comportamento ou o tamanho do arquivo de vírus propriamente dito. Cada vez que encontram um arquivo que coincide com alguma assinatura, ele é considerado infectado, e oferecem ao usuário a 26 opção de repará-lo (retirar dele a parte infectada) ou apagar o arquivo por completo. Se, por alguma razão, o reparo não for possível, o programa antivírus oferece ao usuário a possibilidade de colocá-lo em quarentena, uma área criptografada e de acesso exclusivo ao fabricante do antivírus, onde ele não poderá causar danos ao computador e possa ser reparado, eventualmente, em outra atualização do software. 5.8 wDIS Segundo RUFINO, “ wIDS consegue detectar não somente tipos comuns de ataques, mas também anomalias e procedimentos suspeitos, como repetidas requisições para associação com um determinado concentrador ” . Em geral, as ferramentas disponiveis para redes sem fio são dependentes de tipos de placas e chipsets. Felizmente essa dependência não existe no caso do wIDS, bastando que a interface tenha a funcionalidade de entrar em modo monitor e esteja pronta para funcionar com este programa. Os tipos monitorados por essa ferramenta são: • Detecção de requisições originárias de varredura • Detecção de frequência de reassociação • Análise em relação à sequência numérica dos pacotes 802.11; • Detecção de grande volume de requisições de autenticação em um pequeno intervalo Em geral, não há diferença entre equipamento ligado procurando um concentrador e uma varredura. Desta maneira, o wIDS irá detectar ambos os casos. 27 6. RISCOS E VULNERABILIDADES Vulnerabilidade pode ser definida como sendo uma falha no projeto ou implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança do computador. Em outras palavras, pode-se dizer que vulnerabilidade é qualquer brecha de segurança de um sistema, de uma rede de computadores ou de qualquer outro ativo de empresas ou de usuários domésticos. Com a vulnerabilidade existente, surge a partir daí os ricos que a rede terá que “enfrentar”. Os ricos são ataques realizados por hackers, por crackers e muitas outras maneiras que serão apresentadas no decorrer desse capítulo, será demonstrado mais detalhadamente os maiores causadores por invasões de um sistema, seja a invasão a apenas a usuários domésticos como também a aspecto empresarial, onde as vulnerabilidade tem que se aproximar o máximo possível de 0 ( zero ), pois uma vez que uma empresa é invadida, pode ocorrer danos irreparáveis. As invasões ocorrem de forma intencional por pessoas com certos benefícios ou privilégios adquiridos em sistemas ou serviços de rede. Existem ferramentas para que possa ter benefícios e também para que possa ter mais facilidade para poder ocorrer a invasão, essas ferramentas serão demonstradas no decorrer desse trabalho. Estes benefícios e privilégios permitem que o invasor use os serviços da rede e os sistemas para o fim desejado. Na maioria dos casos o invasor tem a intenção de causar prejuízos à corporações empresarias ou a usuários, mas muitas vezes é apenas uma forma de demonstrar seus conhecimentos técnicos. Abaixo podemos observar os respectivos causadores dos ataques. 6.1 Sniffers São softwares responsáveis por capturar pacotes que trafegam pela rede,conhecidos também como Farejadores ou Capturadores de pacotes. Os Sniffers exploram o fato do tráfego dos pacotes das aplicações TCP/IP não usarem nenhum tipo de cifragem nos dados, facilitando assim a captura dos pacotes e consequentemente as informações que contidas dentro do pacote. Dessa maneira um Sniffer pode obter nomes de usuários, senhas ou qualquer outra informação transmitida que não esteja criptografada. O Sniffer tem que ser instalado em um ponto estratégico da rede para ele possa capturar os pacotes não criptografados. Ex: entre dois computadores ( com o trafego entre 28 elas passando pelo computador que contém o software instalado ) ou em uma rede local com a interface de rede em modo promíscuo. 6.2 Spoofing Spooling é uma falsificação de serviço, spooling é definido como uma técnica utilizada por invasores para conseguirem autenticação a serviços, ou a outras máquinas, falsificando o seu endereço de origem. É uma técnica ataque a contra a autenticidade, é uma forma de personalização que consiste em um usuário externo a assumir a identidade de um usuário ou computador interno, atuando em seu lugar, como se fosse ele mesmo, assim a técnica do spoofing é se apoderar de uma autenticação para assumir o lugar do verdadeiro usuário ou computador. O spoofing é utilizado também para acessar serviços que são controlados apenas pelo endereço de rede de origem da entidade que irá acessar o recurso especifico, como também evitar que o endereço real de um atacante seja conhecido durante uma tentativa da invasão. Essa técnica é utilizada constantemente pelos Hackers, sendo que existem várias ferramentas que facilitam o processo de geração de pacotes de rede com endereços falsos. 6.3 DoS – Denial - of – Service Segundo UNIVILLE, “ ter as informações acessíveis e prontas para uso representa um objetivo critico para muitas empresas ” . No entanto, existem ataques de negação de serviço ( Dos Denial – of – Service Attack ), onde o acesso a um sistema/aplicação é interrompido ou impedido, deixando de estar disponível; ou uma aplicação, cujo tempo de execução é critico, é atrasada ou abortada. Esse tipo de ataque é um dos mais fáceis de implantar e mais difíceis de ser descoberto. Geralmente usam Spoofing para esconder o endereço de origem de ataque. O objetivo é incapacitar um servidor, uma estação de trabalho ou algum sistema de fornecer os seus serviços para os legítimos usuários. Normalmente o ataque DoS não permite o acesso ou modificação dos dados.Usualmente o atacante somente quer inabilitar o uso de um serviço, e não modificá-lo ou corrompê-lo. Em destaques temos abaixo algumas formas para a realização de ataques de negação de serviço. 29 • Fooding – O Atacante envia muitos pacotes de rede em curto período de tempo, de forma que a máquina vitima fique sobrecarregada e comece a descartar pacotes, isso quer dizer, negar serviços. • Buffer Overflow – Uma máquina pode negar serviços se algum software ou sistema operacional tiver alguma falha com o processo de alocação de memória e com limitados tamanhos de buffer.Existem ataques que exploram estes problemas de implementação para, inclusive, rodar código executável remotamente na máquina da vítima. • Pacotes Anormais – Algumas implementações do protocolo TCP/IP não consideram o recebimento de pacotes com formato de seus dados de maneira incorreta, dessa maneira muitas vezes é possível até travar completamente uma máquina ou equipamento remoto, enviando apenas pacotes com dados inválidos. Apesar de geralmente não causarem a perda ou roubo das informações, os ataques DoS são extremamente graves. Um sistema indisponível, quando usuário autorizado precisa dele, pode resultar em perdas tão grave quanto a causadas pela remoção das informações daquele sistema.Ele ataca diretamente o conceito de disponibilidade, ou seja, significa realizar ações que visem a negociação do acesso a um serviço ou informação. 6.4 DDoS – Distributed Denial – of – Services Attacks Ao longo do ano 2000, diversos sites sobre segurança da informação ( como CERT SANS e SecurityFocus ) começaram a anunciar uma nova categoria de ataque de rede que acabou se tornando bastante conhecida: o ataque distribuído. Os ataques distribuídos são baseados no uso de único computador para iniciar o ataque, no lugar são utilizados centenas ou milhares de outros computadores desprotegidos ligados na Internet para lançar coordenadamente o ataque. A tecnologia distribuída não é nova, porem a cada ano ela vem se aperfeiçoando e amadurecendo de tal forma, que até mesmo vândalos curiosos e sem muito conhecimento técnico podem causar sérios danos. Seguindo nessa mesma linha, os ataques DDoS, nada mais são do que conjugar os dois conceitos: a negação de serviço e a intrusão distribuída. 30 Os ataques DDos podem ser definidos como ataques DoS, diferentes partindo do conceito que são disparados simultâneos ataques coordenados sobre um mesmo alvo. De uma maneira simples, são ataques DoS em larga escala. De acordo com o site CERT , os primeiros ataques de DDoS surgiram em Agosto de 1999, esta categoria se firmou ( na época ) como a mais nova ameaça na Internet. Na semana de 7 a 11 de fevereiro de 2000 ficaram inoperantes por algumas horas os sites do YAHOO, EBay, Amazone CNN.Uma semana depois, teve noticias de ataques do DDoS em sites brasileiros como: UOL, GLOBO ON e IG, causando uma grande apreensão. Para a realização de ataque DDoS são necessários os seguintes agentes: • Atacante: quem efetivamente coordena o ataque • Master: máquina que recebe os parâmetros para o ataque e comanda os agentes • Agentes: máquina que efetivamente concretiza o ataque DDoS contra uma ou mais vítimas, conforme for especificado pela atacante.Geralmente um grande número de máquinas que foram invadidas para ser instalado o client (software de instalação do DDoS ). • Vítima: alvo do ataque, máquina que é “inundada” por um volume monstruoso de pacotes, ocasionando um extremo congestionamento da rede e resultando na paralisação dos serviços oferecidos por ela. Vale também ressaltar que existem mais dois personagens atuando nos bastidores. • Daemon: processo que roda no agente, responsável por receber e executar os comandos enviados pelo cliente. • Cliente: aplicação que reside no master e que efetivamente controla os ataques enviando comando Daemon. Os ataques DDoS amplificam o seu poder de ação de ataques DoS utilizando computadores comprometidos, os agentes, onde os daemons foram instalados indevidamente devido a vulnerabilidade exploradas pelos atacantes. A partir do momento que o master envia o comando de inicio para os agentes, o ataque a vitima se inicia em 31 grande escala. Esse tipo de ataque mostra como a segurança de qualquer equipamento à Internet é importante, qualquer host vulnerável pode ser utilizado como recurso para um ataque. 6.5 Malware Vírus, worms e trojans são geralmente chamados de pragas virtuais ( Malware ), nesses últimos anos o numero de dessas pragas aumentaram monstruosamente, causando muitos prejuízos as empresas, e causando muitas dores de cabeça para os administradores de redes, mostrando que usando apenas antivírus não se obtém um resultado considerado seguro. 6.6 Vírus Os vírus são softwares de computadores que de alguma forma causam algum dano ao computador. Os vírus podem se auto replicar ( ou seja, se multiplicarem ) e até mesmo mudarem seu formato ( nome, tamanho, extensão ) para que os antivírus não os detectem. Entre seus diversos danos, os mais comuns são : Lentidão da máquina Ações inesperadas ( ex: estar conectado na Internet e der repente a página fechar sozinha ). Roubo de informações, entre outras. Os vírus que estão mais atuantes hoje segundo o site da F-Secure são: • Mydoom.M.Email-Worm • VB.LU. Trojan-Dropper • Startpage.BO.@ troj • Nyxem.E.Email-Worm • Mydoom.M.@mm • Zhelatin.M.Email-Worm 32 Mydoom.M.Email-Worm Corresponde a 4.7 % ( quatro ponto sete por cento a nível mundial ) dos vírus em atividade no momento. MyDoom.BB apareceu em 17 de fevereiro de 2005 Quando executado, o verme se auto copia em um diretório do Windows como "java.exe". Por outro lado, este executa o arquivo "services.exe", que é um componente backdoor escutando na porta 1034. O verme instala o seguinte registro chave para garantir que será executado quando sistema está começando: [HKCU\Software\Microsoft\Windows\Current Version\Run] "JavaVM" = "%WinDir%\java.exe" VB.LU. Trojan-Dropper Corresponde a 2.1 % ( dois ponto um por cento a nível mundial ) dos vírus em atividade no momento. Trojan Dropper (descrição genérica). Esse trojan, normalmente é um programa autônomo, é um tipo diferente de um malware autônomos (trojans, de vermes, backdoors) de um sistema. Um típico trojan é um arquivo que contém alguns outros arquivos compactados dentro de seu corpo. Quando um trojan é executado, ele extrai todos os arquivos que contém em algumas pasta (geralmente pasta temporária) e executa todos eles simultaneamente. Em muitos casos Trojan droppers contem arquivos não danosos ou arquivos multimídia para disfarçar atividades maliciosas. Trojan droppers são normalmente criados por programas especiais chamados 'joiners' . Estes programas permitem a personalização de funcionalidades de um trojan para adicionar tantos arquivos que forem necessárias para o pacote. Alguns Trojan droppers extraem componentes diretamente na memória e os ativa. Nestes casos os softwares de antivírus não são capazes de detectar um malware,vírus, ou vermes. Os mais famosos Trojan droppers: ExeBundle, ExeStealth, Small, ZomJoiner. 33 Startpage.BO.@ troj Corresponde a 1.4 % (um ponto quatro por cento a nível mundial ) dos vírus em atividade no momento. VBS / StartPage.BO. @ Troj é um arquivo anexando VBS Vírus Trojan com muitas características. Ele tentará infectar todos os arquivos em HTML que estejam nas suas unidades. StartPage.BO tem múltiplas funções e executa uma série de tarefas, incluindo o que poderia ser descrito como "pranks". Coisas como a alteração dos ícones, o botão Configurações, imagens de fundo, etc. Nyxem.E.Email-Worm Corresponde a 1.1 % (um ponto um por cento a nível mundial ) dos vírus em atividade no momento Nyxem.E é escrito em Visual Basic e é compilado como p - código. O tamanho do executável principal é de cerca de 95 kb. Quando o verme do arquivo é executado, primeiro ela abre o WinZip, ele também bloqueia o teclado e o mouse de modo que a única opção é a combinação Durante a de instalação, o teclas verme % Windows% % System% % CTRL copia o + seu arquivo ALT para \ \ System% + DEL. vários locais: rundll16.exe scanregw.exe \ Update.exe % System% \ Winzip.exe Mydoom.M.@mm Corresponde a 0.9 % ( zero ponto nove por cento a nível mundial ) dos vírus em atividade no momento Mydoom.M chega em e - mail em formato executável. Ele é um pacote UPX e se modifica constantemente para que não seja detectado por um antivirus. Quando o verme do arquivo é executado, ele copia - se como java.exe na pasta Windows System e cria um valor de seqüência - chave para este arquivo no registro: [HKLM\Software\Microsoft\Windows\Current Version\Run] "JavaVM" = "%WindowsDir%\ java.exe" 34 Zhelatin.M.Email-Worm Corresponde a 0.7 % ( zero ponto sete por cento a nível mundial ) dos vírus em atividade no momento Após o verme ser executado por um usuário, ele apaga aleatoriamente arquivos na mesma pasta onde foi iniciado e executado a partir dele. Este arquivo instala um rootkit e p2p (ponto - a - ponto) componente na pasta Windows System. O nome do arquivo é wincom32.sys. A partida seguinte, é criada uma chave no Registro para o arquivo baixado: [HKLM \ System \ ControlSet001 \ Services \ wincom32] @ = "% WinSysDir% \ wincom32.sys" O componente instalado ( rootkit ) tem características: ele esconde sua chaves de registro e ativa processos, a fim de que um anti - rootkit motor seja necessário para descobrir que existe um rootkit. Além disso, um arquivo texto chamado wincom32.ini é copiado na pasta Windows System. O arquivo baixado possui também uma lista negra, mas ela está vazia no momento. O verme decodifica os clientes (endereços e acesso ) e conecta – se na rede. Um número significativo de conexões UDP pode ser observada quando o verme está tentando conectar se a rede. A cópia do verme permanece na memória e começa a se espalhar no disco rígido ( HD – Hard Disk ). Cria um arquivo mutex chamado klllekkdkkd. Abaixo escala mundial de infecções no mês de Outubro do ano de 2007, em visão global e de todos os vírus conhecidos. Figura 9 Gráfico de infecções ano de 2007 ( F-secure ) 35 6.7 Trojans Trojans, são os famosos cavalos de tróia.se nome se originou da antiga história da mitologia grega, onde gregas infiltram-se na cidade Tróia escondidos dentro de um cavalo de madeira. Os cavalos de tróia são softwares projetados para assumir controle de uma estação de trabalho, seja ela uma máquina qualquer da rede ou residencial, ou até mesmo um servidor de uma empresa. Os trojans entram nas máquinas de maneira furtiva, ou seja, sem que os administradores da rede se de conta que ele esteja ali. Os trojans são códigos maliciosos, geralmente camuflados, como se fossem programas inofensivos. Uma vez instalados no computador da vitima, podem permitir que o criador da praga obtenha o controle completo da máquina,que passa a ser chamada de “zumbi”. Os programas DoS ( como vistos anteriormente ) geralmente são Trojans. 6.8 Worms São trojans ou vírus que fazem cópia do seu próprio código e as enviam para outros computadores, seja por meio de e-mail ou via programas de bate-papo, dentre outras formas de propagação pela rede.Os worms têm se tornado mais comuns e mais perigosos, porque o seu poder de propagação é muito grande. Falando em meios corporativos, os worms exploram as vulnerabilidades dos servidores ou programas instalados neles ( os servidores ) para que possa infiltrar e fornecer acesso ao atacante.Uma vez instalados eles ( worms ) começam a procurar novos endereços vulneráveis para atacar. Já em estações, os worms exploram vulnerabilidades de programas de recebimento de e-mail para se infiltrarem e se propagarem para os endereços cadastrados em sua lista de endereços, alem de se anexarem automaticamente em todas as mensagens enviadas. Os worms, com sua habilidade de se autoreplicar, podem travar um servidor ou qualquer estação, deixando o(s) HD(s) sem espaço físico, ocupando todo espaço livre. 36 6.9 Hacker Hackers são consideradas as pessoas que tem grande conhecimento em informática, mas nem sempre é isso que vemos nas reportagens de revistas e jornais.Existem muitas pessoas que usa o saber em prol de realizar adversidades no mundo computacional, causando transtorno as pessoas e as empresas, invadindo, excluindo e alterando arquivos. Iniciantes São pessoas que passam bastante tempo navegando na Internet, procurando diversão e normalmente aprendem com softwares e ferramentas que estão na web um meio de invadir computadores de maneira fácil e rápida. Técnicos São pessoas que tem um maior conhecimento que os iniciantes, criam programas que causam danos, sendo extremamente bons no que fazem e espalham rapidamente suas técnicas através da Internet.Geralmente são pessoas que fazem cursos superiores na área de informática, tendo ai um conhecimento maior perante ao sistema computacional, facilitando a criação de novas ferramentas. Profissionais Essas pessoas são as mais perigosas, muitas vezes criam novos softwares para ataque / invasão e também utilizam ferramentas já existentes que comprovaram sua eficiência. O ponto motivador dessas pessoas é que recebem pelo trabalho que fazem. 37 7. FERRAMENTAS DE ATAQUE Existem hoje varias ferramentas para quebra de senha, para que se possa invadir uma rede, abaixo veremos ferramentas de quebra de senha do WEP, será demonstrados os meios para a invasão e a particularidade de cada ferramenta, mostrando como essas ferramentas agem. Quebra de senha do WEP Existem varias ferramentas desenvolvidas para descobrir chaves WEP, com maior ou menor grau de eficiência. Utilizam em geral uma combinação de força bruta, ataques baseados em dicionário e exploração de vulnerabilidades. Por outro lado, chaves simples são mais fáceis de ser quebradas, independentemente da eficácia da ferramenta, e chavespadrão não necessitam sequer de ferramentas para isso. WEPAttack Ataques baseados em palavras de dicionários.Esta é fundamentalmente a proposta desta ferramenta que pode trabalhar como qualquer dicionário disponível, utilizando o método usual de quebras de senhas , testand0-as uma a uma. A grande vantagem desta ferramenta é utilizar o formato pcap,fazendo com que a captura do trafego possa ser realizada com ferramentas tradicionais como o Ethereal, Tcpdump, etc. ( ferramentas utilizadas para captura de trafego na rede ). Uma ferramenta também muito conhecida para quebra de senha é o John the ripper, possui características interessantes por combinar palavras de dicionário com variações destas, gerando palavras com características entre outras possibilidades. Essas funcionalidades podem ser combinados com o WEPAttack, e tornar muito mais eficiente as tentativas de quebra de chaves. Weplab Atua em três principais frentes de ataque: a primeira baseia-se em dicionários ( prevista, mas ainda não implementada ), a segunda é por meio da força bruta convencional, mas também via análise probabilística ( heurística ). 38 E a terceira, que é o maior mérito desta ferramenta, a de quebra de chaves, baseada no antigo “Weaknesses in key”, onde são analisados pontos falhos na geração das chaves de iniciação usadas no protocolo WEP. Esse método implementa grande parte dos mecanismos apresentados por um artigo escrito por David Hulton, mais conhecido como h1kari, fazendo com que a identificação da chave seja muito mais rápida. A rapidez na quebra da chave do WEP é que fez com que até muito recentemente esta ferramenta fosse considerada a mais adequada para este fim.Tal situação se modificou em 2004, com o AirCrack ganhando popularidade e atingindo o topo da lista como ferramenta mais rápida para quebra de chaves WEP. AirCrack Considerada atualmente como uma das ferramentas mais eficientes para quebra de chaves WEP, o AirCrack ataca principalmente as fragilidades das redes sem fio, adicionando alguns métodos de ataques próprios. Por conta de sua eficiência, seu algoritmo está sendo incorporado a outras ferramentas,com o objetivo de torná-las mais rápidas para a quebra de WEP. Compõem o pacote alguns programas com funções bem específicas, uma para coleta dos pacotes ( Airodump ), outra para a quebra propriamente dita ( AirCrack ) e ainda uma terceira ( 802ether ) para decifrar o tráfego usando a chave WEP que estava sendo usada para cifrar os dados no arquivo capturado ( no formato pcap ), 802ether pode ser utilizado para gerar um arquivo, também no formato pcap, porém devidamente decifrado. 39 8. CONCLUSÃO Conforme mostrado anteriormente, podemos verificar todos os métodos realizados para nos defender de ameaças, vimos também as ferramentas de ataque e os vírus que são mais perigosos, e que estão causando maiores danos para as empresas e para a sociedade. Abaixo veremos qual é a rede mais segura, quais são as vantagens e desvantagens de cada uma, qual podemos depositar mais a nossa confiança. As redes Wi-Fi trazem bastante comodidade para os usuários, pois com ela, podemos estar conectados em lugares de difícil acesso, que com redes cabeadas com certeza não conseguiríamos acessar, mas será que ela é mais segura do que as redes cabeadas ? Nem sempre comodidade nos traz segurança, como ainda é um sistema em desenvolvimento, as redes Wi-Fi apresentam algumas falhas, por estar exposta a um meio por onde os dados trafegam pelo ar, facilita bastante que as pessoas que são má intencionadas, a explorarem e possam invadir computadores com maior vulnerabilidade. Uma coisa bastante frágil das redes sem fio, é que conseguimos capturar o sinal emitido, utilizando uma antena / placa ( wirelless ) para se fazer a recepção do sinal, podemos assim nos “sintonizar” nessa rede que esta trafegando naquele trecho. Muitas vezes a senha é muito fraca facilitando bastante que a mesma seja descoberta. As senhas de preferência, deve ter no mínimo 8 dígitos e que contenha números e caracteres especiais, como por exemplo, @ ( arroba ) $ ( cifrão ) & ( e comercial ), dentre outros. A senha ideal é aquela por onde seja muito difícil conseguir se conectar pelo método de tentativa e erro. Muitas senhas que são utilizadas, são muito fracas, exemplo: Usuário admin senha admin, usuário nome do comprador do serviço e senha 1234 ou 123. Estas são senhas que na maioria das vezes, são descobertas sem muitas tentativas, facilitando também que softwares destinados a quebrar senha, desvendem sem muita dificuldade. As redes wi-fi ( redes sem fio ), tem muitos “inimigos”, muitos deles que foram herdados das redes ethernet e as novas ameaças existentes, que exploram as vulnerabilidades desse modelo de rede, por onde trafegam os dados “ao ar livre”. Segundo RUFINO ( 2005 ) “ataques que se interpõem entre dois lados de uma conexão não são novidades em segurança de redes, porém diferentemente das redes cabeadas, onde um atacante precisa estar fisicamente ou remotamente em um ponto que permita redirecionar a conexão, em redes sem fio há intercepção pode ser feita em um elemento ( o concentrador ) e um local adicional para promover esse redirecionamento ( estar o mais próximo possível do concentrador )”. 40 Neste trecho Rufino, demonstra que em redes sem fio é mais fácil o acesso a ela, por onde não há necessidade de estarmos fisicamente conectados a rede para conseguirmos acessa-la. As redes ethernet ( redes cabeadas ), também apresentam riscos, mas nem tantos como as redes wi-fi. Temos como principal defesa das redes ethernet, que para estarmos conectados nela, precisamos conectar o cabo com o conector RJ45 em um ponto disponível. Muitas vezes os pontos de rede que estão visualmente livres, nem sempre estão disponíveis para que um computador consiga acessar a rede, ou seja, se conectado um computador naquele ponto, o computador pode não entrar na rede, porque o ponto não foi habilitado no rack ou switch dessa rede, impossibilitando que o computador consiga trafegar na rede. É importante lembrar que para conectar nessa rede, é preciso estar fisicamente nela, por exemplo, em uma empresa, você necessita estar dentro das empresas para poder acessar a rede, em contraste com as redes sem fio ( dependendo da amplitude do sinal ), você consegue acessar essa rede mesmo estando dos portões para fora, ou até mesmo próximo a localidade da mesma. Devemos ter cuidados também com a Internet ( por onde acontecem as maiores tragédias ), devemos nos orientar dos perigos existentes e principalmente saber como nos defender dessas ameaças, conforme demonstrado acima. Os usuários de empresas devem ser devidamente treinados para que cometam menos erros, e até mesmos que possam eleminar erros decorridos pelos acessos indevidos. Os usuários de empresas ajudariam bastante os administradores de redes se seguissem devidamente o código de conduta estabelecido pela empresa, tendo o conhecimento do código, com certeza diminuiria bastante o número de infecções causadas por acessos indevidos. Segundo RUFINO ( 2005 ) “um grave problema das redes sem fio é a relativa facilidade em se promover ataques do tipo negação de serviço. Não há solução definitiva para esse problema”. As redes sem fio apresentam muito mais riscos do que as redes cabeadas, pois boa parte das proteções adotadas estão em sua maioria na segurança física, o que não existe em redes sem fio. As redes sem fio poderiam ser mais seguras ( em termo geral ) se as empresas / pessoas estudassem mais sobre o assunto antes da implementação dessa tecnologia. Em análise ao estudo conseguimos observar que as redes sem fio ( as redes wi-fi ) são menos seguras do que as redes cabeadas ( as redes ethernet ), elas apresentam mais vulnerabilidades e riscos, por isso ainda hoje, é preferivel a utilização das redes cabeadas 41 ( redes ethernet ) tanto para o meio corporativo ( que são as empresas de grande, médio e pequeno porte ) como para Lan-houses, e usuários domésticos. 42 9. REFERÊNCIAS BIBLIOGRÁFICAS Csolutions “Topologia de redes”.[Disponivel em: http://www.csolutions.com.br, acessado em 09/06/2007] F-secure “F-Secure Virus Statistics”[ Disponivel em: www.f-secure.com, acessado em 17/10/2007] Guia do hardware.“Gigabit-Ethernet”.[Disponivel em: http://www.guiadohardware.net/termos, acessado em 09/06/2007] HAYDEN, Matt; “Aprenda em 24 horas Redes” - Ed. Campus, Rio de Janeiro 1999. 443p Intron “Firewall”[ Disponivel em: http://www.intron.com.br, acessado em 17/11/2007] RUFINO, Nelson Murilo de O. “Segurança em redes sem fio” - 2° Ed. Novatec: 2005. 224p. TANENBAUM A.; “Redes de Computadores” – 3° Ed. Campus, Rio de Janeiro 1997 UFRGS “Figura Topologia de barramento”[Disponivel em: http://penta2.ufrgs.br/Joaquim/barra.gif, acessado em 09/06/2007] UNIVILLE. “Segurança da Informação”. Disponível em <www.projetoderedes.kit.net>, acessado em 25/02/2007] 43 10. Assinaturas _____________________________ _________________________________ Danilo Venchiarutti da Silva Prof. Carlos A. B. Viviani 44