Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Upcoming SlideShare
Loading in...5
×
 

Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap

on

  • 2,888 views

A palestra visa apresentar técnicas de evasão que podem ser utilizadas em varreduras de rede para evitar que esta seja bloqueada por sistemas de segurança como filtros de pacotes ou sistemas de ...

A palestra visa apresentar técnicas de evasão que podem ser utilizadas em varreduras de rede para evitar que esta seja bloqueada por sistemas de segurança como filtros de pacotes ou sistemas de detecção/prevenção de intrusos ou que esta seja detectada pela equipe de monitoramento desta rede. Estas técnicas são demonstrada utilizando a ferramenta Nmap, que é uma ferramenta livre e de código aberto utilizada para realizar tarefas como mapeamento de redes e auditorias de segurança através da análise de pacotes enviados e recebidos.

Esta palestra foi apresentada na reunião GTS 22.

Statistics

Views

Total Views
2,888
Views on SlideShare
649
Embed Views
2,239

Actions

Likes
0
Downloads
21
Comments
0

9 Embeds 2,239

http://www.blog.clavis.com.br 2210
http://feedly.com 11
http://feeds2.feedburner.com 11
https://feedly.com 2
https://digg.com 1
https://www.commafeed.com 1
http://feeds.feedburner.com 1
http://feedreader.com 1
http://inoreader.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap Presentation Transcript

    • Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap Rafael Ferreira Sócio Diretor Técnico rafael@clavis.com.br
    • $ whoami rafael@clavis.com.br @rafaelsferreira rafaelsoaresferreira •  Grupo Clavis •  Sócio Diretor Técnico •  Teste de invasão em redes, sistemas e aplicações Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Agenda •  Introdução •  Varreduras indiretas •  Contornando técnicas de detecção •  Dificultando a detecção da origem •  Conclusão Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução http://nmap.org/ Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução Nmap Security Scanner •  Funcionalidades principais •  Varreduras de portas •  •  •  Detecção de serviços, versões e SOs Mapeamento e inventário de redes Entre outras… •  Criado por Gordon “Fyodor” Lyon •  Ferramenta livre e código aberto •  Projeto ativo e mantido pela comunidade Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução http://nmap.org/movies/ Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução http://nmap.org/movies/ Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução http://nmap.org/movies/ Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução http://nmap.org/movies/ Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução Introdução à Evasão com o Nmap •  Objetivo: evitar detecção/bloqueio por firewalls/IDSs/IPSs •  Técnicas de evasão presentes no Nmap •  Varredura indireta •  •  Contornar técnicas de detecção •  •  Abuso da confiança e/ou transferência da culpa Muitos pacotes em portas diferentes chamam a atenção Dificultar a identificação da origem •  Muito ruído pode dificultar a determinação da origem Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Introdução Introdução à Evasão com o Nmap •  Adendos importantes •  •  •  Evasão → Maior consumo de recursos As técnicas são adequadas para qualquer cenário Cuidado com o comportamento padrão Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Varreduras Indiretas Questões relacionadas ao intermediário •  Se utilizar um intermediário qualquer •  •  •  Simplesmente transferindo a culpa Resultado iguais aos de uma varredura direta A culpa é minha e eu a coloco em quem eu quiser!!! •  Se utilizar um intermediário na infraestrutura alvo •  •  •  •  Abusa da confiança do host que esta na mesma infraestrutura Buscando contornar controles de acesso externo Pode detectar serviços que não são acessíveis externamente Utiliza proxy chains Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Varreduras Indiretas Varredura TCP Idle (-sI) •  Classificações possíveis: open e closed|filtered •  Dificuldade: encontrar intermediário vulnerável SYN,ACK RST (id) SYN,ACK SYN (IP spoofado) RST (id + 1) SYN,ACK RST (id + 2) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Varreduras Indiretas Varredura TCP Idle (-sI) •  Classificações possíveis: open e closed|filtered •  Dificuldade: encontrar intermediário vulnerável SYN,ACK RST (id) SYN (IP spoofado) RST SYN,ACK RST (id + 1) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Varreduras Indiretas Varredura FTP Bounce (-b) •  Classificações possíveis: open, closed e filtered •  Dificuldade: encontrar servidor FTP vulnerável PORT IP,PT SYN 226 Transfer complete SYN/ACK PORT IP,PT SYN 425 Conn. refused Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados. RST
    • Varreduras Indiretas Outras Abordagens Possíveis •  Varredura com spoofing IP (-S) •  •  Dificuldade: interceptar o tráfego de resposta Se a ideia é só transferir a culpa, dá pra fazer de tudo! •  Varredura com spoofing MAC (--spoof-mac) •  •  •  Dificuldade: interceptar o tráfego de resposta Pode simular MACs de diferentes fabricantes ou aleatório Cuidado com o endereço IP!!! Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • IP Spoofing Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • MAC Spoofing Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Contornando Técnicas de Detecção Varredura TCP Null (-sN), FIN (-sF) e Xmas (-sX) •  Classificações possíveis: closed e open|filtered •  Varreduras para evadir de firewalls stateless mal-configurados *cri* | FIN | FIN,PSH,URG *cri* | FIN | FIN,PSH,URG RST Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • TCP Null, FIN e Xmas Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Contornando Técnicas de Detecção Varredura TCP ACK (-sA) •  Classificações possíveis: filtered e unfiltered •  Mapeamento de regras de firewall (firewalking) ACK RST ACK Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • TCP ACK Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Contornando Técnicas de Detecção Controle de Desempenho (-T) •  Perfis existentes •  •  •  •  •  •  Paranóico (-T0 ou paranoid): 5min entre probes e sem paralelismo Furtivo (-T1 ou sneaky): 15s entre probes e sem paralelismo Educado (-T2 ou polite): 0,4s entre probes e sem paralelismo Normal (-T3 ou normal): 0,4s entre probes e com paralelismo Agressivo (-T4 ou aggressive): reduz intervalos de timeout Insano (-T5 ou insane): reduz muito os intervalos de timeout •  Eficaz no contorno de: •  Filtros baseados em tempo entre pacotes e vazão total Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Paranóico (-T0) Furtivo (-T1) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Educado (-T2) Normal (-T3) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Agressivo (-T4) Insano (-T5) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Contornando Técnicas de Detecção Controle de Desempenho (-T) •  Outras opções interessantes •  •  •  •  •  •  •  Número de hosts simultâneos (--{min,max}-hostgroup) Número de probes simultâneos (--{min,max}-parallelism) Número de retransmissões (--max-retries) Tempo de espera por respostas (--{min,max,initial}-rtt-timeout) Tempo máximo de espera por host (--host-timeout) Tempo de espera entre probes (--scan-delay e --max-scan-delay) Controle de fluxo (--{min,max}-rate) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Contornando Técnicas de Detecção Outras técnicas interessantes •  Pacotes fragmentados (-f) •  •  Divide o cabeçalho do protocolo de transporte Eficaz no contorno de: •  •  Filtros que não armazenam fragmentos para repasse Filtros com severas restrições de performance •  Definição da porta de origem (-g) •  Contorna filtros que permitem tráfego em determinadas portas •  •  Portas de interesse: 20 (FTP), 53 (DNS), 67 (DHCP), 88 (Kerberos) Eficaz no contorno de: •  Firewalls mal configurados Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Pacotes fragmentados (-f) Porta origem (-g) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Dificultando a Detecção da Origem Varredura com decoys (-D) •  Para cada pacote, envia outro spoofado para cada decoy •  Gera MUITO ruído, mas dificulta a definição da origem •  Eficaz no contorno de: •  Ferramentas de gerência automatizada de logs Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Varredura com decoys (-D) Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Conclusões Com técnicas evasivas é possível: •  Enumeração de controles e filtros •  Teste da eficácia de tais controles •  Avaliação da capacidade de resposta Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Siga a Clavis http://clav.is/slideshare http://clav.is/twitter http://clav.is/facebook http://clav.is/youtube Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.
    • Muito Obrigado! rafael@clavis.com.br @rafaelsferreira Rafael Ferreira Sócio Diretor Técnico Copyright © 2013 Clavis Segurança da Informação. Todos os direitos reservados.