Um problema relacionado à segurança que pode ocorrer quando o acesso físico à rede de dados é permitido é a interceptação de dados. É possível que um usuário mal intencionado utilize programas que fazem captura e análise de pacotes, técnica conhecida como sniffing, para obter informações indevidamente.
Mas como utilizar programas como o Wireshark para interceptar dados em uma rede?
Tendo acesso físico à rede, é possível utilizar de uma das seguintes técnicas para obtenção de dados:
Espelhamento de porta
Também conhecido como port mirroring, é a maneira mais fácil de se capturar os dados. Para isso, é necessário acessar a configuração do switch e executar o comando para que o switch copie toda a informação que esteja passando em uma porta para outra (assumindo que estamos falando de um switch gerenciável).
O comando utilizado varia de fabricante para fabricante e alguns até já possuem interface gráfica para sua configuração e, conhecendo-se a marca e modelo do equipamento, basta procurar sua documentação para conhecer os comandos e fazer as devidas configurações.
Os bons switches no mercado permitem que seja configurada uma senha para acessar suas configurações de forma a evitar esse e outros tipos de problema.
Utilização de um hub (hubbing out)
O hub é um equipamento de rede que coloca todos os dispositivos a ele conectado no mesmo domínio de broadcast e colisão e não é mais utilizado hoje em dia. No entanto, como um hub grosseiramente envia todos os pacotes recebidos para todos os dispositivos a ele ligado, o uso de uma ferramenta para captura de pacotes é bastante facilitada. Basta colocar um computador com o analisador de pacotes ligado nele e pronto!
Usando um tap
Um tap é um dispositivo usado justamente para essa finalidade, ou seja, ouvir o tráfego na rede. Existem dois tipos de tap: agregado e não agregado, este último exige duas placas de rede no computador que vai escutar a conversação nos dois sentidos separadamente, mas consegue lidar com volumes maiores de dados. Existem taps inclusive para fibra óptica.
Envenenamento de cache arp
Programas como Cain & Abel podem ser usados para injetar pacotes na rede para redirecionar o tráfego. Essa técnica é usada quando as demais estão indisponíveis, mas não é a mais adequada. Envenenamento de cache arp pode causar alguns efeitos colaterais, inclusive deixar o dispositivo analisado indisponível.
O protocolo 802.1X
Para evitar escuta indevida na rede, entre outras soluções, podemos recomendar o uso do protocolo 802.1X.
O protocolo de autenticação 802.1x pode ser implementado em redes sem fio ou cabeadas.
Quando um dispositivo é conectado em uma porta de um switch que utiliza esse protocolo, ele não obtém acesso imediatamente à rede, mas deve ser autenticado através de um servidor como o RADIUS (Remote Authentication Dial-In User Service). Caso o dispositivo não possua as credenciais necessárias, a porta é desabilitada impossibilitando o acesso.
A diferença do 802.1X para uma autenticação no sistema operacional Windows é que, caso o usuário não tenha as devidas credenciais para acessar a rede, ainda que o Windows o bloqueie, ele já está na rede ao passo que, quando o switch bloqueia a porta ele não tem mais acesso à nada.
Outra caraterística dessa implementação é que o usuário, ao se conectar no switch não tem acesso direto ao servidor de autenticação, aumentando assim a segurança do processo.
Comentários
Postar um comentário