mrezni napadi

2

Sadržaj

• Uvod • Sniffing• ARP spoofing• DNS spoofing• SSL MITM • Napredniji napadi• Zaštita

3

Uvod

• napadač ima pristup lokalnoj mreži• napadi na isti subnet• sigurnost poverljivih informacija

klijenata• napredniji napadi – izvršenje

malicioznog koda

4

Sadržaj


5

Sniffing ...

• Mreže sa hubovima (prošlost)– NIC u promisc modu– hubove zamenili switchevi (pametniji)

• Otvorene wireless mreže– skupljanje paketa u “vazduhu”

• Kriptovane wireless mreže– skupljanje paketa za offline crackovanje

6

... Sniffing...

• Wireshark primer

7

... Sniffing...

• Otvorena wireless mreža– skupljanje paketa aircrackom– naknadna analiza wiresharkom– pasivan napad – napadač ne mora da

ima pristup mreži

8

... Sniffing.

• Kriptovana wireless mreža– prikupljanje paketa za offline crackovanje

• WEP – par hiljada IV paketa – nalaženje ključa relativno brzo (minuti)

• WPA– potrebni “four way handshake” paketi– bruteforce ili dictionary napad – za dovoljno dug passphrase traje jako dugo

– dalje isto kao na otvorenoj mreži

9

... Sniffing.

• sniffovanje cookiea• korisničkih imena i šifri• fajlova

• ettercap• xplico• firesheep

10

Sadržaj


11

Address resolution protocol

• izmedju 3. i 2. nivoa• Iz IP adrese odredjuje fizičku• u IPv6 zamenjen Neighbour

Discovery protokolom

12


• Primer izgleda komunikacije

13


• cache tabele– neophodne za efikasnu komunikaciju– cuvaju zapise odredjeno vreme

14

ARP spoofing ...

• ili trovanje cache tabela• sniffovanje mreža sa switchevima• napadač šalje lažni ARP reply • dobija pakete koji mu nisu namenjeni

15

... ARP spoofing...

• primer napada

16

... ARP spoofing

• sniffovanje na switched mrežama• ettercap demonstracija

17

Sadržaj


18

Domain name system

• internet imenik• prevodi imena hostova u IP adrese• klijent traži IP adresu od DNS servera

• zatim započinje komunikaciju

19

DNS spoofing...

• kontrola odgovora DNS servera• oslanja se na ARP spoofing

20

... DNS spoofing.

• ettercap demo• sami zamislite mogucnosti– phishing napadi – preusmerenje na malware sajt– ...

• drugi napadi na DNS

21

Sadržaj


22

Secure Socket Layer

• Sigurnost komunikacije na nesigurnoj mreži pomoću enkripcije

• server se sertifikatom identifikuje • public key kriptografija za razmenu

ključeva • enkriptovana komunikacija po

dogovorenom ključu

23

Secure Socket Layer

• verifikovani sertifikat

• selfsigned sertifikat

24

SSL Man In The Middle...

• oslanja se na arp spoofing• napadač izmedju žrtve i sajta• napadač šalje žrtvi svoj (fake)

sertifikat

žrtva <--> napadač <--> sajt

25

... SSL MITM...

• snifovanje enkriptovanog sadržaja• ettercap demo

26

Sadržaj


27

Napredniji napadi - middler

• Injektovanje/izmena sadržaja paketa• python• oslanja se na ARP spoofing naravno• demo – injektovanje metasploit

exploita za IE

28

Napredniji napadi - middler

• metasploit exploit na 192.168.0.103• middler injektuje iframe na

www.ftn.uns.ac.rs• žrtva posećuje www.ftn.uns.ac.rs

Internet Explorerom• exploit se izvršava i napadač dobija

pristup žrtvinoj mašini

http://www.ftn.uns.ac.rs/

http://www.ftn.uns.ac.rs/

29

Napredniji napadi - evilgrade

• zloupotreba nesigurnih update procesa pojedinih aplikacija

– moduli za • java

• skype

• vmware

• ...

– DNS spoofing

– lažiranje upadte procesa

– ubacivanje malicioznog koda u vidu updatea

30

Sadržaj


31

Zaštita

• ARP najveći problem• izolacija mreže • static ARP– ne skalira / težak za održavanje

• alati za detektovanje sumnjivog ponašanja

• IDS sistemi

32

Zaštita

• ne oslanjati se na DNS za kritične operacije– DNSSec ekstenzije

• IPv6? • verifikovani SSL sertifikati• edukacija korisnika• naravno – updateovan softver

mrezni napadi

Documents