A finalidade desde post é informar sobre a segurança em um servidor e se prevenir de ataques a LAN mais conhecidos, se prevenir não quer dizer nunca ser infiltrado mas você consegue dificultar muito a vida do atacante com essas definições citadas neste documento.
3 principais ataques em LAN
Syn Flood
Neste ataque, o atacante envia milhares de pacotes SYN ao servidor alvo com endereços IP ilegítimos. O servidor então envia um SYN-ACK de confirmação ao falso usuário e fica aguardando a sua resposta para validar a conexão. Entretanto, essa resposta nunca chega e o Three-Way Handshake não é completado.
Um grande volume de pacotes SYN pode estourar o limite de conexões TCP que o servidor/serviço consegue manter ativas simultaneamente, sobrecarregando a capacidade computacional e causando uma indisponibilização do servidor/serviço e deixando usuários legítimos impossibilitados de se conectar.
Smurf Attack
É possível baixar acidentalmente o cavalo de Troia Smurf de um site não verificado ou de um link de e-mail infectado. Em geral, o programa permanece dormente em um computador até ser ativado por um usuário remoto. Em seguida, diversos Smurfs vêm acompanhados de rootkits, o que permite aos hackers criar backdoors para acessar o sistema facilmente. Uma forma de combate ao ataque Smurf é desativar o endereçamento de transmissão de IP em todos os roteadores de rede. Essa função é usada raramente e, se desativada, o ataque não consegue sobrecarregar a rede.
Se um ataque DDoS do Smurf realmente acontecer, ele poderá incapacitar os servidores da empresa durante horas, gerando perda de receita e frustração do cliente. E esse tipo de ataque ainda pode abrir espaço para algo mais grave, como roubo de arquivos ou de outros tipos de propriedade intelectual (IP). Lidar com o Smurf e outros ataques DDoS exige uma estratégia de prevenção abrangente, capaz de monitorar o tráfego de rede e detectar outras anormalidades, como o volume, o comportamento e a assinatura do pacote; muitos bots de malware apresentam características específicas, por isso o serviço de segurança correto pode ajudar a derrubar um Smurf ou outro ataque DDoS antes que ele comece.
Man-in-the-middle
O man-in-the-middle(MITM) é uma forma de ataque em que os dados trocados entre duas partes são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vítimas percebam. Em uma comunicação normal, os dois elementos envolvidos se comunicam entre si sem interferência através de um meio, uma rede local a internet ou ambas.
Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloqueando partes da informação.
Como se prevenir de ataques em rede LAN
- Possuir um firewall bem configurado
- Possuir ferramentas contra port scan
- Avisar usuários da rede interna sobre phishing
- Faça constante testes na sua rede local
- Para equipes em home office é indispensável o uso de VPN
- Mantenha senhas fortes e seguras
- Ter bom anti vírus
- Usar protocolo HTTP para aplicações WEB
Mitigando Smurf Attack com o Firewall PfSense
Mitigando Syn Flood com syn cookies.
Os cookies SYN podem ser ativados adicionando o seguinte:
‘’net.ipv4.tcp_syncookies = 1
Depois de modificar o arquivo de configuração do sysctl, você precisa executar o seguinte comando para carregar as configurações do sysctl do arquivo /etc/sysctl.conf
sysctl -p
• Aumentando a fila de pendências SYN
Uma técnica de defesa opcional é aumentar o tamanho da fila de backlog do SYS. O tamanho padrão é 1024. Isso pode ser feito adicionando o seguinte ao /etc/sysctl.conf
net.ipv4.tcp_max_syn_backlog = 2048
• Reduzindo tentativas SYN ACK
Ajustar o parâmetro do kernel tcp_synack_retries faz com que o kernel feche as conexões de estado SYN_RECV mais cedo. O valor padrão é 5.
net.ipv4.tcp_synack_retries = 3
• Configurando o tempo limite SYN_RECV
Reduzir o valor de tempo limite para SYN_RECV ajudará a reduzir o ataque de inundação de SYN. O valor padrão é 60 e podemos reduzi-lo para 40 ou 45. Isso pode ser feito adicionando a seguinte linha ao sysctl.conf.
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
• Prevenção de spoofing de IP
O seguinte parâmetro sysctl ajudará a proteger contra spoofing de IP que é usado para ataques de inundação SYN.
net.ipv4.conf.all.rp_filter = 1
Muitas empresas de hospedagem oferecem proteção contra ataques SYN implantando firewalls que empregam defesa contra inundação SYN, como Netscreen ou Appsafe.
