024.2 Lição 1

The link layer is the second layer in the OSI model of networking. It handles the physical and data link aspects of network communication. This layer is responsible for how data is transmitted over a local network segment, managing things like frame transmission, error detection, and flow control. Devices in a network communicate through the link layer using protocols such as Ethernet or Wi-Fi. Access to this layer is critical for controlling how data is transmitted between devices on the same local network.

No entanto, o acesso não autorizado à camada de enlace pode representar riscos significativos de segurança. Um invasor que obtém acesso a essa camada pode potencialmente interceptar, manipular ou injetar tráfego na rede. Isso poderia permitir que eles realizassem uma variedade de ataques, como captura de pacotes (packet sniffing), onde o invasor captura e analisa pacotes de dados, ou um ataque do tipo intermediário (man-in-the-middle), onde eles interceptam e possivelmente alteram as comunicações entre dois dispositivos sem que as partes estejam cientes. Esses ataques podem levar a vazamentos de dados, acesso não autorizado a informações sensíveis ou até mesmo à interrupção dos serviços de rede.

Mitigar os riscos associados ao acesso à camada de enlace e requer a proteção da infraestrutura física da rede, a implementação de mecanismos de autenticação fortes e o uso de criptografia. Por exemplo, a segurança de porta pode ser ativada em switches para limitar o acesso a dispositivos autorizados, e a segmentação de rede pode ser empregada para limitar o escopo de ataques potenciais.

There is still an inherent risk at the data layer, which is the poisoning of the Address Resolution Protocol (ARP). ARP is used to map IP addresses to MAC addresses on a local network, and an attacker can exploit this by sending falsified ARP messages to associate their MAC address with another device’s IP address. This allows the attacker to intercept or alter traffic intended for that device.

In Wi-Fi networks, the challenges of securing the data and link layer are even greater due to the physics of wireless communication, where data is transmitted over open airwaves.

As redes Wi-Fi oferecem conveniência e flexibilidade, permitindo que dispositivos se conectem sem fio à internet. No entanto, também apresentam riscos significativos de segurança, especialmente quando não estão adequadamente protegidas. Uma das principais preocupações surge com redes Wi-Fi não criptografadas e públicas, que são comumente encontradas em espaços públicos, como cafeterias, aeroportos e hotéis. Essas redes geralmente oferecem acesso aberto a qualquer pessoa dentro do alcance e, como não possuem criptografia, os dados transmitidos por elas são vulneráveis à interceptação. Os invasores podem facilmente monitorar o tráfego da rede e capturar informações sensíveis, como credenciais de login, dados pessoais ou detalhes financeiros, usando técnicas como captura de pacotes. Redes Wi-Fi públicas são um alvo principal para cibercriminosos que buscam explorar essas vulnerabilidades.

Para mitigar esses riscos, é necessário implementar segurança e criptografia Wi-Fi para garantir que os dados transmitidos entre dispositivos e a rede estejam protegidos. A criptografia embaralha os dados de modo que, mesmo se forem interceptados, não possam ser lidos ou compreendidos sem a chave de descriptografia correta. Com o tempo, vários padrões de criptografia foram desenvolvidos para melhorar a segurança das redes Wi-Fi. Um dos primeiros foi o Wired Equivalent Privacy (WEP), mas rapidamente se descobriu que era inseguro devido a falhas que permitiam que invasores quebrassem sua criptografia facilmente. Como resultado, o WEP é agora considerado obsoleto e não deve ser utilizado.

A introdução do Wi-Fi Protected Access (WPA) melhorou a segurança ao abordar muitas das fraquezas do WEP. O WPA usou o Protocolo de Integridade de Chave Temporal (Temporal Key Integrity Protocol - TKIP) para mudar dinamicamente a chave de criptografia a cada pacote, dificultando o trabalho dos invasores para quebrar a criptografia. No entanto, o WPA ainda tinha vulnerabilidades, o que levou ao desenvolvimento do WPA2, o padrão de criptografia mais amplamente utilizado atualmente. O WPA2 utiliza o Advanced Encryption Standard (AES), que oferece um nível de criptografia muito mais forte do que seus predecessores e permanece o padrão da indústria para segurança Wi-Fi.

Apesar da robustez do WPA2, ele não é totalmente imune a ataques, e com o surgimento de ameaças cibernéticas mais sofisticadas, novos padrões como o WPA3 foram introduzidos. O WPA3 fornece criptografia ainda mais forte e melhor proteção contra ataques de força bruta. Em ambientes seguros, usar o padrão de criptografia mais recente e senhas fortes é crucial para garantir a confidencialidade e integridade dos dados transmitidos em redes Wi-Fi. Atualizar regularmente roteadores e equipamentos de rede para suportar os protocolos de segurança mais recentes também ajuda a proteger contra ameaças emergentes, garantindo que as redes sem fio permaneçam seguras contra acessos não autorizados.

A interceptação de tráfego ocorre quando um usuário não autorizado, referido como invasor, se coloca entre os pontos de comunicação dos nós em uma rede. Isso também pode ser chamado de ataque de intermediário (man-in-the-middle). As formas de interceptação de tráfego podem ser um ataque passivo ou um ataque ativo nos hosts alvo na rede.

Ataque de Negação de Serviço (Denial of service - DoS) é uma forma de ataque ativo que ocorre quando usuários autorizados são negados acesso a um sistema de computador, uma rede ou informações específicas. Isso é causado por um ataque à rede ou a um sistema específico. Para realizar esse ataque, um invasor pode explorar uma vulnerabilidade conhecida em um aplicativo específico no sistema ou no sistema operacional que está sendo executado no host. O DoS geralmente se apresenta na forma de um ataque em que o invasor inunda o sistema com tantos pedidos que a máquina fica sobrecarregada e o sistema travado, tornando-o offline ou inutilizável para os usuários autorizados.

Quando um ataque de negação de serviço é lançado em um host alvo, o objetivo pode ser dificultar o acesso ao host ou, quando combinado com outras ações, comprometer o sistema de computador. Também pode ser usado para obter acesso não autorizado ao sistema de computador ou à rede. Exemplos de ataques DoS incluem SYN flooding e Ping of Death.

No ataque de inundação de pacotes SYN (SYN flooding), o invasor tira proveito do handshake de 3 vias do protocolo TCP/IP usado para comunicação entre dois hosts. O ataque basicamente envolve inundar o host com solicitações, de forma que ele não tenha tempo de descartar solicitações sem resposta na sequência de comunicação SYN, SYN/ACK e ACK. A solicitação ACK completa o handshake de 3 vias, mas como a conexão inicial vem de um endereço IP falso, o host não emite uma resposta ACK e continua esperando. Logo, mais solicitações se acumulam até que o host não consiga mais lidar com novas solicitações, impedindo que solicitações legítimas de usuários autorizados sejam processadas nesse host.

O Ping da Morte (Ping of Death) é outro ataque de DoS que envia pacotes grandes de Internet Control Message Protocol (ICMP) para um host alvo. Normalmente, os pacotes de dados devem ter menos de 65.536 bytes (ou 64 kilobytes), mas quando o tamanho do pacote é maior que isso e é enviado para um host que não consegue lidar com pacotes desse tamanho, o sistema congela ou falha, tornando-se indisponível para usuários autorizados.

Ataques de DoS geralmente são executados por um único sistema invasor. No entanto, quando vários sistemas são empregados para atacar o alvo, isso é chamado de Negação de Serviço Distribuída (Distributed Denial of Service - DDoS). Em DDoS, o invasor infecta vários outros sistemas e os faz executar funções maliciosas em seu nome. Isso pode ocorrer quando os usuários são enganados a instalar software em seus computadores que permanece inativo por um tempo sem que percebam. O ataque também pode aproveitar sistemas que não foram atualizados ou corrigidos contra as vulnerabilidades mais recentes conhecidas. Assim que um número suficiente de hosts é infectado, o ataque é lançado. Esse ataque pode ser uma inundação SYN, com vários hosts infectados enviando solicitações de comunicação falsas para um servidor alvo até que ele fique sobrecarregado.

Uma das formas de prevenir um ataque de DoS por inundação SYN é modificar o tempo que um host espera antes de descartar solicitações não utilizadas. Também é uma prática de segurança recomendada garantir que os sistemas estejam atualizados com as últimas correções de segurança. Existem ferramentas que podem detectar e eliminar softwares “zumbis” adormecidos, como parte de pacotes antivírus ou anti-spyware. Bloquear o protocolo ICMP pode ajudar a prevenir o Ping of Death, mas também pode ser um obstáculo para ferramentas legítimas e úteis de diagnóstico.

Um bot é um software que executa tarefas sob o controle de outro programa. Um grupo de bots que são operados e controlados através da rede é chamado de botnet. Um botnet pode ser usado para realizar ações necessárias e legais na rede — por exemplo, ao distribuir cargas de trabalho de computação. No entanto, um botnet também pode ser utilizado para ações mal-intencionadas e prejudiciais na rede, como os ataques DDoS discutidos na seção anterior. Botnets também podem ser usados como spyware para roubar informações utilizando keyloggers na rede. Botnets podem ser usados para envio de spam por e-mail, ou seja, envio de mensagens não solicitadas para um alvo.

Geralmente, quando um computador é infectado por malware de bot, o usuário não está ciente disso e a infecção pode se espalhar para outros hosts na rede. Isso pode criar uma grande botnet que será usada posteriormente para lançar um ataque massivo a um alvo específico. Os desenvolvedores de bots também são capazes de modificar seus bots para evitar medidas de segurança, como listas negras de IP e controles de acesso, se apropriando de endereços IP de áreas residenciais e usando-os em diferentes ocasiões para evitar a detecção. Todos os usuários da internet devem instalar software de segurança dedicado, como pacotes de antispyware e antivírus, e atualizá-los regularmente. Essas ferramentas devem realizar verificações de rotina para ajudar a prevenir uma infecção ou um ataque. Também é uma boa prática de segurança não clicar em links ou abrir mensagens de e-mail de fontes obscuras, desconhecidas ou não confiáveis.

Os Filtros de Pacotes podem desempenhar um papel crucial na mitigação de vários ataques de rede, como SYN flood, Denial of Service (DoS, sigla em inglês), Distributed Denial of Service (DDoS, sigla em inglês), botnets e man-in-the-middle. Um filtro de pacotes é um mecanismo de firewall que inspeciona pacotes de entrada e saída na camada de rede, analisando seus cabeçalhos para determinar se devem ser permitidos ou bloqueados com base em regras de segurança predefinidas.

Os Filtros de Pacotes podem mitigar ataques SYN flood, onde um invasor sobrecarrega um servidor enviando um número massivo de solicitações de conexão incompletas, limitando o número de solicitações SYN de entrada ou implementando SYN cookies, que permitem que o servidor gerencie mais conexões sem sobrecarregar os recursos. Filtros de pacotes também podem detectar e bloquear os endereços IP de invasores conhecidos, impedindo que seu tráfego chegue ao servidor.

Para prevenir ataques DoS e DDoS, filtros de pacotes podem identificar padrões de tráfego anormais — como um número incomum de solicitações de um único endereço IP ou várias fontes em um cenário de DDoS — e bloquear ou limitar a taxa desse tráfego. Isso impede que o servidor seja sobrecarregado por tráfego malicioso, enquanto as solicitações legítimas continuam a ser processadas.

Quando se trata de botnets, que são redes de dispositivos comprometidos usados para lançar ataques coordenados, filtros de pacotes podem detectar tráfego proveniente de endereços IP conhecidos de botnets ou bloquear comunicações de dispositivos que estão se comportando de forma suspeita. Ao bloquear o tráfego de comando e controle (C2) usado pelos operadores de botnet para gerenciar os dispositivos infectados, filtros de pacotes podem reduzir significativamente a eficácia dos ataques de botnet.

Finalmente, filtros de pacotes podem prevenir ataques de man-in-the-middle onde um invasor intercepta comunicações entre dois dispositivos, aplicando conexões seguras usando protocolos como HTTPS ou SSL/TLS, que criptografam o tráfego. Os filtros também podem ser configurados para descartar pacotes suspeitos que parecem fazer parte de um ataque man-in-the-middle, como aqueles com cabeçalhos alterados ou aqueles originados de fontes não confiáveis.

Ao configurar adequadamente os filtros de pacotes, as organizações podem reduzir significativamente o risco de vários tipos de ataques, melhorando a segurança e a integridade de suas redes.