Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping

Na ultima matéria falamos de IP Spoofing.

Um atacante no intuito de conseguir capturar tráfego dentro duma rede interna pode introduzir um servidor DHCP ilegal a seu serviço na rede de tal modo que este também atribua endereços as maquinas clientes. Se a resposta do servidor DHCP do atacante chegar primeiro que a do servidor DHCP legal então o atacante pode induzir a que o tráfego passe por ele. Para mais informações sobre DHCP ler este artigo.

Pela figura acima, nota-se que o atacante tira proveito de estar mais próximo do cliente. A sua resposta ao cliente chega primeiro e claro, ela contem endereços IP e Gateway(GW) que fazem tráfego do cliente passar exactamente pela maquina do atacante.

Os comutadores Cisco possuem uma característica que permite combater ataques deste género: portas untrusted e trusted. Se a porta está no estado trusted ela pode receber respostas DHCP do tipo DHCPOFFER e DHCPACK. Se está no estado untrusted ela nao pode receber respostas DHCP. A porta no estado untrusted é desabilitada se uma resposta DHCP chega nela.

Quem tira partido disso são os comutadores Cisco da linha Catalyst (não consultei em quais versões na sua totalidade) que possuem a tecnologia DHCP Snooping. Para activar o DHCP Snooping, é preciso activa-lo globalmente e depois por interface:

(config)#ip dhcp snooping

Pode também ser activado por VLAN:

(config)#ip dhcp snooping vlan 20-25, 70, 1

Para configurar uma porta em modo trusted é necessário estar em modo de configuração de interface:

(config)#int fa0/0
(config-if)#ip dhcp snooping trust

Nos comutadores Catalyst por defeito se uma porta não for configurada explicitamente como trusted, ela é considerada como untrusted, daí não ser necessário perder muito tempo com configurações.

Cisco Auto Secure e SDM One-Step Lockdown

Na prática de assegurar um roteador a Cisco possui uma serie de recomendações. Essas recomendações ou boas praticas podem ser manual ou automaticamente habilitadas num roteador. Se bem que elas não garantem total segurança, pelo menos são um primeiro passo na segurança adicional dos roteadores.

Existem 2 maneiras de habilita-los:

AutoSecure

Com o comando autosecure o roteador realiza uma serie de perguntas e o administrador escolhe as opções. Para habilitar basta digitar o comando auto secure a partir do modo EXEC privilegiado:

#auto secure

O processo é bastante explicativo.

Security Device Manager (SDM) One-Step Lockdown

Um outro jeito de fazer isso é usando a opção disponível no SDM conhecida como One-Step Lockdown. Aqui o administrador praticamente nada faz. O SDM faz tudo e aplica os comandos no roteador.

Configurei o roteador no GNS3 (no caso de nao ter um roteador de verdade) com os seguintes comandos:

username sdm privilege 15 password 0 sdm

interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
no shut

ip http server
ip http authentication local
ip http secure-server

line vty 0 4
login local
transport input telnet ssh

Testei essa opção com o GNS3 e uma interface loopback com o cliente SDM a rodar no portátil e correu tudo bem:

 

Confiar neste certificado:

Entrar o username e password como sdm.


Já dentro do SDM, Clicar em Configure > Security Audit. Clicar no botão One-Step Lockdown.

Aguarde:

Pronto!!!

O seguinte artigo explica como usar o SDM com o GNS3 usando interface loopback.

Transiçao para o IPv6. Precisa-se

Ja dissemos aqui que 2011 seria o ano do esgotamento do endereçamento IPv4. De facto consumou-se esta previsão. Teremos provavelmente mais 2/3 anos de ‘tréguas’, depois dali quem não se adaptar seja por meio de aposta em upgrade de hardware e software, como em formação profissional, poderá sentir dificuldades.

Que  não nos espantemos. Nos fóruns de discussão de redes e telecom estrangeiros que frequento, o assunto IPv6 ainda não constitui unanimidade. Isso quer dizer que quem começar a estudar isso agora terá grandes chances de conseguir um bom emprego nos próximos meses.  Apostar numa certificação CCNP nos próximos 6 meses seria uma boa aposta.

Links interessantes:

https://snnangola.wordpress.com/2009/06/16/introducao-ao-ipv6-parte-i/
https://snnangola.wordpress.com/2009/06/02/curso-de-ipv6-na-net/
https://snnangola.wordpress.com/2010/10/01/guia-de-ipv6-completo/

 

As liçoes do professores do IST (II)

Este artigo é uma continuação do primeiro.

O segundo professor a deslocar-se a Angola foi o professor Dr Luís Manuel Correia igualmente do IST e do IT/Portugal. O professor Luís Manuel Correia é um dos maiores estudiosos Portugueses no ramo das comunicações moveis, cadeira que lecciona desde o inicio dos anos 90, tendo publicado já 3 livros em relação a comunicações moveis, um deles envolvendo 4G, além de dezenas de artigos científicos e de ter liderado implementações COST/Telecom (European Cooperation in Science and Technology) que para quem não sabe, cria padrões, regulamentos, recomendações técnicas e documentação a serem usadas na Europa. Lidera ainda o grupo de pesquisas em comunicações sem fio do IT/IST.

A disciplina de Sistemas de Telecom II é uma daquelas cadeiras que se apresentam como difíceis, por abordarem assuntos variados. O programa leccionado foi:

Distribuições Estatísticas em Telecomunicações
Modelos de Propagação
Antenas para Bases e Móveis
Caracterização do Canal Rádio
Redes Celulares
Interface Rádio
Sistemas de Rádio Móvel Privado
Mobilidade e Tráfego
Dimensionamento Celular
Outros Sistemas

Ressalte-se a frontalidade com que o mesmo aborda os assuntos. Usando piadas quando necessário, mas na hora do trabalho, gosta mesmo que os alunos trabalhem, além da pontualidade com que se faz presente as aulas. Aulas estas que depois eram em regime bi-diario, portanto um verdadeiro massacre.

Já no fim do seu programa concedeu uma palestra bastante concorrida no auditório da UCAN, abordando novas tecnologias. Quem assistiu a esta palestra saiu dali satisfeitissimo, podia-se mesmo notar isso no semblante da plateia que ficou maravilhada com a sua desenvoltura ao palestrar e o seu a vontade no tratamento de assuntos técnicos.

Dele ficou o aprendizado em relação a seriedade com que se deve abordar os desafios em engenharia. Um professor quando é pontual passa um grande exemplo aos alunos. Pode parecer brincadeira, mas é verdade.

Ping extendido

Serio, que tem muita gente que estuda redes e ainda nao sabe ou ouviu falar de ping extendido. Um ping extendido permite definir alguns parametros como interface de origem e interface de destino, tamaho do datagrama, protocolo, numero de pacotes ICMP que serao enviados, etc. Para executar um ping extendido basta indicar o comando ping sem nenhum parametro.

O seguinte é um exemplo dum ping extendido do router da esquerda para o da direita. Nao acho necessario colocar aqui exemplo de interfaces de origem e de destino:

rede basica

RouterESQUERDA#ping
Protocol [ip]:
Target IP address: 192.168.1.2
Repeat count [5]: 20
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (20/20), round-trip min/avg/max = 1/4/17 ms

Como podem obserar foram enviados 20 pacotes ICMP do RouterESQUERDA para a interface 192.168.1.2 ao router a direita. É muito facil de ser feito.

Redundancia de links WAN com IP SLA

Sabia da possibilidade de se fazer redundância de links usando mensagens SNMP.  Uma outra forma é usar monitoramento de desempenho de trafego IP com tecnologia IP SLA. Com IP SLA activados em Cisco devices (comutadores, roteadores) periodicamente estes reportam o desempenho, o que permite determinar por exemplo se um determinado link WAN está down.

Esse tutorial mostra como fazer isso.

Angola poderá adotar padrao Japones de Televisao Digital

A recente visita do vice Japonês para as Telecoms Morita Takashi pode significar que Angola ao contrario da África do Sul deverá adotar o padrão de televisão digital ISDB-T ou o ISDB-Tb/International a versão Brasileira que introduz significativas melhorias em relação a interacção e a compressão.

Uma das coisas que me entusiasma em relação ao padrão ISDB-Tb é que o Brasil já está muito avançado em relação ao middleware Ginga que permitirá a desenvolvedores criar canais de interacção usuário/central/usuário. Quem vai ganhar com isso são os grandes provedores de midia e mesmo os pequenos, que terão os seus conteúdos digitalizados. A televisão deixará de ser um mero receptor para um dispositivo inteligente de output o que permitirá aos video clubs na falência venderem conteúdos aos clientes que não precisarão mais de sair de casa para ir alugar um filme. Aliás nem precisarão sair de casa para cadastrarem-se no video club.

Segurança em redes locais IV:Protegendo-se de ataques por IP Spoofing

No ultimo artigo desta serie falamos de Time Based ACLs.

Em relação a ataques de IP Spoofing, tenho ouvido falar deles a cerca de 10 anos. Não se sabe exactamente a origem deste tipo de ataques. Ficaram conhecidos por terem sido supostamente usados pelo hacker assumido Kevin Mitnick, que com sucesso conseguiu invadir a rede do físico Americano Tsutomo Shimomura. De origem Japonesa, Tsutomo Shimomura foi aluno do excêntrico físico Americano/Judeu Richard Feynman. Além de ser físico, Shimomura era também um expert em segurança de redes, electrónica e computação, sendo aliás funcionário do centro de supercomputacao de San Diego (SDSC) e conhecido por muitos experts renomados como Bruce Schneier.

Mitnick sabia que tentar invadir a rede do SDSC directamente era demasiado arriscado,  por isso usou uma das redes de confiança do SDSC, provavelmente de um outro centro de investigação. Derrubando um desses computadores e assumindo a sua identidade de rede, Mitnick estava então em condições de estabelecer contacto directo com a rede do SDSC sob a egede de Shimomura, a qual atacou roubando documentos, senhas e software avaliado em milhões de dólares.

O impacto e a sofisticação do ataque reportado na altura por Shimomura foi tal que muita gente não acreditou nas suas palavras, preferiram mesmo ignora-lo. Shimomura deduzia que já outras redes haviam sido alvo de ataques por IP Spoofing. Foi só com a intervenção do jornalista J. Markoff do New York Times que mediatizou e publicou a historia que ela se espalhou e alguns provedores tomando conhecimento, começaram a reportar ataques semelhantes ao sofrido pelo SDSC. Com estes dados Shimomura pode então realizar uma perseguição implacável que resultou na prisão de Mitnick em 15 de Fevereiro de 1995, quase 3 meses após atacar a rede do SDSC.

Ja falamos aqui de spoofing, embora na camada 2 do modelo OSI. Em termos de IP Spoofing, estamos propriamente a nos localizar na camada 3 (rede) e na camada 4 (transporte) e um bocado tambem na camada de sessao. Elas jogam um papel preponderante nesse aspecto:

Pela figura acima, nota-se que não é anormal possuirmos uma relação de confiança com um qualquer dispositivo de rede numa rede não confiável como a Internet. Hoje em dia é mais difícil, mas não impossível realizar IP Spoofing. As redes privadas virtuais por exemplo necessitam de acordar um conjunto de parâmetros sem os quais a associação não é possível, daí que não se recomenda a criação de túneis GRE sem encriptação.

Para hackers experientes isso pode não ser um problema. Ele pode muito bem escrever software com raw sockets para spoofar datagramas IP ou cabeçalhos TCP bem como gerar cabeçalhos GRE. Além do mais existem ferramentas disponíveis como a API WinPcap o hping e sendip que facilitam e de que maneira o IP Spoofing. Geralmente um hacker precisa de terminar uma sessão dum host confiado, spoofar os datagramas IP, farejar números de sequência, gerar números de sequência e estabelecer sessão com o host alvo. O host alvo assumirá que o host confiado estava derrubado e voltou ao ar, sem saber que foi alvo dum ataque. Por isso geralmente ataques de IP Spoofing estão ligados a ataques DoS.

Não existe felizmente uma formula exacta para se realizar ip spoofing. Tudo depende da perícia do atacante. Contudo felizmente existem muitas formas de se defender. Uma delas é recomendação da Cisco:

Não permitir que qualquer pacote que contenha um endereço de rede dum dispositivo interno da rede seja um pacote na direcção reentrante (inbound) na rede. Na figura acima todos pacotes que venham da Internet para s0/0/0 e que contenham pelo menos um dos seguintes endereços abaixo devem ser impedidos:

– Qualquer endereço localhost (127.0.0.0/8).
– Qualquer endereço privado.
– Qualquer endereço IP multicast (224.0.0.0/4)

O seguinte conjunto de comandos deve ser aplicado na direcção inbound de s0/0/0:

#access-list 101 deny ip 0.0.0.0 0.255.255.255 any
#access-list 101 deny ip 10.0.0.0 0.255.255.255 any
#access-list 101 deny ip 172.16.0.0 0.15.255.255 any
#access-list 101 deny ip 192.168.0.0 0.0.255.255 any
#access-list 101 deny ip 127.0.0.0 0.255.255.255 any
#access-list 101 deny ip 224.0.0.0 15.255.255.255 any
#access-list 101 deny ip host 255.255.255.255 any

Em seguida em fa0/1 na direcção outbound:

#access-list 102 permit ip 192.168.1.0 0.0.0.255 any

Existem administradores de redes que recomendam técnicas mais avançadas. Pode ser um dos nossos tópicos em próximos posts, mas contudo, em redes de pequena e media dimensão o exemplo acima deve funcionar perfeitamente.

Bibliografia:

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html
http://www.takedown.com/timeline/index.html

CES 2011: Microsoft lança Surface 2.0

O Microsoft Surface é na minha opinião uma das melhores ideias que saíram do papel para a pratica. Quem assistiu Minority Report fica com uma ideia clara de que o único limite agora passa a ser o da imaginação de cada um, já que o SDK Surface está aí para quem quiser.

Existe a impressão errada de que o mesmo apenas serve para brincar com fotografias. Os visionários sabem que não. Um aluno que chegasse a uma instituição universitária para inscrever-se pela primeira vez, apenas precisava de colocar o seu BI em cima do Surface nas duas faces. Escolhia o curso, o turno e já estava. Recebia a confirmação por papel e ia a sua casa satisfeito. Desse modo poupava-se recursos  e evitava-se constrangimentos de maior como filas enormes etc. As ideias são muitas. Este vídeo da Microsoft dá mais uma pitada nesse assunto.

 

A chuva interfere nas comunicaçoes Televisivas?

A resposta é: Depende da frequencia de trabalho.

Quem só usa TPA com antena radio externa nao sentirá dificuldades. Em Luanda pelo menos quem vive no Benfica nao sente muitas dificuldades de ver a TPA sem ter antena externa. Eu também nao sentia quando o transmissor da TPA estava no Miramar.

Pelo menos por enquanto, se pretender assistir a uma emissao da TPA (já para nao falar da ZIMBO) sem interferencias e nao vive numa zona proxima a antena transmissora da TPA, entao só pode faze-lo obtendo uma antena parabolica.

E é ali onde reside o problema…

Um dos estudios da TPA

 

Com as chuvas que se abatem sobre Luanda, todos já notamos que as emissoes vao-se embora.

Pergunta-se por isso se as chuvas interferem ou nao, nas comunicacoes televisivas? A resposta é simples: Depende da frequência de trabalho. As transmissões televisivas costumam falhar quando as frequências de trabalho andam a volta não da frequência de radio, mas das frequências dos microondas a 7-10 GHz para cima. O comprimento de onda e a frequência da onda possuem uma relação de inversa proporcionalidade, significando que quando uma sobe a outra desce. Note que quem tem antena radio externa em casa, por mais chuva que caia, vai ter sempre o sinal da TPA. O mesmo não se pode dizer de quem possui uma antena parabólica. Em chuvas intensas o comprimento de onda na faixa dos 8-10 GHz  como diminui, não consegue difratar-se, passar, contornar as gotas de chuva, daí o sinal ser absorvido pelas gotas de chuva e cair.

Em enlaces microondas, uma solução, seria mudar dinamicamente para faixas de frequências diferentes, ou seja que não sofram interferências das chuvas, ou seja, abaixo dos 5 GHz. Isso teria consequências: Uma delas seria a perca de direccionalidade do sinal. Esta direccionalidade é maior na faixa dos 7 GHz. Por outro lado a alta direccionalidade do sinal faz com que o mesmo sofra perca de qualidade devido a existência de obstáculos durante o seu trajecto. Um destes obstáculos que pode afecta-lo mesmo em zonas aparentemente rurais é a curvatura da terra. Em zonas urbanas o cenário é ainda pior com existência de edifícios, etc.

É necessário também considerar que existe uma gestão do espectro electromagnético e os espectros de frequencias sao caros e custam dinheiro, logo uma operadora apenas pode-se usar o espectro ou faixa atribuída a si com uma certa potencia de emissao, para evitar violar o espectro dos outros e evitar a interferência entre as suas antenas transmissoras.

As antenas parabólicas da DSTv e até a TV Cabo por exemplo enfrentam problemas durante as chuvas. Parece piada a TV Cabo também ser afectada por isso, mas é verdade, o sinal televisivo que chega as nossas residências ao que consta (não confirmado) é recebido por Antenas Parabólicas que operam nessa faixa na estação central (ou como se chama), logo não está imune a problemas.