FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle

1,620 views

Published on

Presentation exhibited at FISL11 on july, 23th 2010. The title in english is "Protecting intranet webservers against Man-In-The-Middle attacks"

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,620
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
40
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle

  1. 1. Fernando Mercês <ul>Protegendo webservers na intranet contra ataques Man-In-The-Middle </ul>
  2. 3. No final da minha palestra <ul>Sortearei o curso “Segurança em Servidores Linux: Norma ISO 27002” <ul><li>Preencham o cupom que está no folheto da 4Linux dentro da bolsa do fisl11
  3. 4. Se você já preencheu, ele já está aqui na urna
  4. 5. O ganhador deve estar presente até o quinto sorteio. Se não estiver presente ganhará o sexto sorteado </li></ul></ul>
  5. 6. O que é MITM <ul><li>Homem-no-meio, basicamente é colocar-se entre o usuário e o servidor, forjando ser este último. É preciso fazer o usuário pensar que está no servidor correto.
  6. 7. MITM é um ataque genérico, pois há várias vertentes a serem exploradas dentro de seu contexto. Falaremos de MITM específico contra webservers internos. </li></ul>
  7. 8. Entendendo o MITM
  8. 9. Análise do atacante <ul><li>Topologia básica da rede
  9. 10. Endereçamento dos hosts e servidores, incluindo DNS.
  10. 11. Tráfego (sniffing)
  11. 12. Autenticação no servidor
  12. 13. Página de autenticação
  13. 14. Retorno para o usuário </li></ul>
  14. 15. Página de autenticação
  15. 16. Página de autenticação <ul><li>Linguagem utilizada
  16. 17. Funções JavaScript
  17. 18. Criptografia
  18. 19. Exemplo com salting bytes: </li><ul><li>md5(senha + “x10xA”); </li></ul></ul>
  19. 20. PHP snippets <ul><?php $log = fopen('vitimas.log', 'w'); fwrite($log, $user.' '.$pass); fclose($log); ?> </ul>
  20. 21. PAT (Port Address Translation) <ul><li>Basicamente, redirecionar a porta em que chegam os pacotes.
  21. 22. Útil se o webserver algo for um autenticador de internet (gateways de hotéis por exemplo)
  22. 23. # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 </li></ul>
  23. 24. ARP Poisoning <ul><li>Tabela ARP contém os MACs dos hosts relacionados com seus IPs.
  24. 25. “Envenenar” esta tabela é colocar o MAC do atacante no registro ARP do IP do webserver alvo.
  25. 26. A conseqüência desse ato é que o roteador mandará os pacotes direcionados ao IP do servidor para a máquina do atacante. </li></ul>
  26. 27. ARP Poisoning Address HWtype HWaddress Iface 192.168.0.15 ether 00:11:d8:b0:a9:8f eth0 192.168.0.14 ether 00:1a:4d:78:19:aa eth0 192.168.0.63 ether 00:1e:c9:19:52:89 eth0 192.168.0.53 ether 00:40:a7:09:7e:52 eth0 192.168.0.53 ether 00:1d:7d:fc:75:df eth0
  27. 28. ARP Poisoning
  28. 29. DNS spoofing <ul><li>Também é efetivo, inclusive em conjunto com o ARP Poisoning.
  29. 30. Há várias maneiras de fazer o DNS spoof: cache poisoning, ID spoofing (com ou sem DNS sniffing), etc.
  30. 31. A conseqüência desse ato é que o servidor DNS da rede responderá o IP do atacante quando o cliente requisitar resolução do nome do webserver interno. </li></ul>
  31. 32. Resultado...
  32. 33. SSL, em que ajuda? <ul><li>SSL quase sempre ajuda. :)
  33. 34. Se os usuários forem “treinados”, saberão identificar um servidor forjado. Mas você tem usuários capazes?
  34. 35. Dificulta o sniffing da autenticação mas nada ajuda contra o sniffing de DNS e ARP.
  35. 36. Então não tem jeito, tem que avisar o usuário, nem que seja com o cadeado! </li></ul>
  36. 37. E os IDS? <ul><li>Snort (preprocessor arpspoof) </li><ul><li>Precisa de uma lista de MACs populada.
  37. 38. Desconhece registro fora do domínio. </li></ul><li>arpwatch </li><ul><li>Monitor a tabela ARP por conta própria.
  38. 39. Alerta toda vez que um registro novo é inserido. Isto pode caracterizar envenenamento ou não. </li></ul></ul>
  39. 40. E os IDS? <ul><li>arpalert </li><ul><li>Precisa de uma lista de MACs populada.
  40. 41. Alerta se algum MAC não presente na lista for incluso. </li></ul><li>MAC Binding </li><ul><li>Recurso dos switches para fixar o MAC à porta física. </li></ul></ul>
  41. 42. Conclusão <ul>Para se sentir um pouco protegido, é preciso: <li>Excelente rotina de autenticação no webserver. SSL está implícito. ;)
  42. 43. Firewall, IDS e IPS de verdade, CONFIGURADOS e AUDITADOS. Não adianta só instalar.
  43. 44. Manter seguros seus servidores DNS.
  44. 45. Acabar com os pontos de rede “soltos”. </li></ul>
  45. 46. Oportunidade <ul><li>Gostaria de se qualificar conhecendo amplos tipos de ataque e defesa?
  46. 47. Quem sabe como se ataca, defende melhor.;)
  47. 48. A carreira de segurança da informação está em alta, não fique de fora!
  48. 49. MITM é base para muitos ataques, dominá-lo é de grande importância para o profissional de segurança.
  49. 50. Cada vez mais processos importantes estão na web. E a segurança? Essa é sua chance! </li></ul>
  50. 51. Perguntas <ul>? ? ? ? ? </ul>
  51. 52. Obrigado! @FernandoMerces [email_address] www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747
  52. 53. Construtor Assunto Data e Horário Luiz Vieira Segurança 22/07 às 10h00 e 23/07 às 11h00 Kinn C Julião Desenvolvimento PHP 22/07 às 11h00 e 23/07 às 12h00 Gustavo Maia Java, eXo Platform, Android 22/07 às 12h00 e 23/07 às 13h00 Fernando Merces Engenharia Reversa 22/07 às 13h00 e 23/07 às 14h00 Bruno Gurgel Alfresco, MediaWiki, BBB, Dimdim 22/07 às 14h00 e 23/07 às 15h00 Caio Candido LPI, Softwares de Acessibilidade 22/07 às 15h00 e 23/07 às 16h00 Débora Lavínia Marketing com Software Livre 22/07 às 16h00 e 23/07 às 17h00 César Domingos Business Intelligence 22/07 às 17h00 e 23/07 às 18h00 Fernando Lozano JBoss AS, Java, Portais 22/07 às 18h00 e 23/07 às 19h00 Rodrigo Tornis Postfix, Expresso 22/07 às 19h00 e 24/07 às 10h00 Anahuac P Gil Kyapanel, OpenLdap 23/07 às 10h00 e 24/07 às 11h00

×