Next: Sniffers Up: Um Sistema de Testes Previous: Abstract Sumário
O assunto ``segurança computacional'' tem sido muito discutido nos últimos tempos. Como parte importante deste tópico temos as medidas de contenção, cujo objetivo é evitar que invasões ocorram, e as medidas de detecção, que procuram por indícios de invasões considerando uma possível falha nas barreiras levantadas pelas medidas de contenção. Nesta última categoria entram os conhecidos detectores de intrusão e a perspicácia dos administradores de sistemas.
Uma das ferramentas mais utilizadas por atacantes é o sniffer, um software usado para capturar e analisar tráfego de rede. Em ataques simples ou sofisticados, o uso de um sniffer é parte importante de sua concepção e efetivação. Com a ainda ampla utilização de protocolos não criptografados, a utilização de um sniffer pode revelar dados consideravelmente sensitivos e importantes para os atacantes.
É importante conhecer a arquitetura e topologia das redes onde um sniffer pode atuar. Porém, independentemente das características desta, a utilização de um sniffer por um atacante não deixa de ser um grande risco à sua segurança. Neste trabalho são estudadas diversas arquiteturas e topologias, assim como os riscos e potenciais vulnerabilidades destas, em especial quando se tem um sniffer como ferramenta de ataque a ser utilizada.
Devido a sua operação inerentemente passiva e o potencial comprometimento prévio da máquina utilizada, tanto a detecção local como a remota de um sniffer tornam-se tarefas difíceis. Através da compreensão de seu funcionamento e do estudo aprofundado das características das diferentes implementações da pilha TCP/IP é possível planejar técnicas que apontem sua utilização não autorizada no ambiente de rede testado, mesmo que de forma não determinística. Este trabalho contém uma análise das diferentes técnicas de detecção existentes, mostrando seus pontos fracos e fortes.
A falta de uma ferramenta flexível, de código fonte aberto e de livre distribuição motivou a implementação dos testes discutidos. Os resultados do trabalho aqui exposto são uma biblioteca de testes e uma ferramenta que visa suprir as expectativas de administradores de redes, profissionais de segurança e estudantes da área de redes. Tal implementação é voltada para redes que seguem o padrão Ethernet, o mais utilizado entre os padrões para redes locais.
No capítulo 2, discorremos sobre os sniffers, suas origens, utilização e implicações práticas na segurança das redes em que são executados. No capítulo 3, são mostradas e comentadas diversas técnicas para a detecção de sniffers. O capítulo 4 descreve a implementação de uma biblioteca de testes de detecção e uma aplicação que a utiliza. Por fim, temos os resultados dos testes realizados com a utilização de tal sistema no capítulo 5 e as conclusões do trabalho no capítulo 6.
Ademar de Souza Reis Jr. 2003-03-11