Ferramentas GPL para segurança de redes - Vanderlei Pollon

2,539 views
2,418 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,539
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
130
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ferramentas GPL para segurança de redes - Vanderlei Pollon

  1. 1. Ferramentas GPL para segurança de redes www.tchelinux.org Palestrante: Vanderlei Pollon 2º Seminário de Software Livre Tchelinux ­  Edição Porto Alegre ­  01/12/2007
  2. 2. Sobre o palestrante ● Nome: Vanderlei Pollon ● Graduação: Matemática (UFRGS) ● Pós-técnico: Redes de Computadores (UFRGS) ● Especialização 1: Informática e Telemática (UFRGS) ● Especialização 2: Tecnologias, Gerência e Segurança de Redes (UFRGS) ● Email: vanderlei@pollon.org ● Site: www.pollon.org www.tchelinux.org
  3. 3. Resumo deste trabalho ● Fazer uma breve análise das principais ferramentas GPL relacionadas a Redes de Computadores ● Abstract Making a brief analysis of the main tools GPL related to Computer Networks www.tchelinux.org
  4. 4. legenda utilizada ferramenta nativa para Linux ferramenta nativa para MAC OS X ferramenta nativa para FreeBSD ferramenta nativa para Windows ferramenta paga é possível o acesso ao código fonte a ferramenta possui interface gráfica pode ser utilizada via linha de comando www.tchelinux.org
  5. 5. Verificadores de senhas fracas (cracker) ● Tenta descobrir senhas utilizando-se de várias técnicas: ● utilizando “força bruta” ● capturando o tráfego da rede ● fazendo uma verificação do cache utilizando técnicas de criptoanálises ● Cain e Abel - http://www.oxid.it/cain.html ● RainbowCrack -(freeware) http://www.antsight.com/zsl/rainbowcrack/ ● John the Ripper - http://www.openwall.com/john www.tchelinux.org
  6. 6. John the ripper Algumas possibilidades: > testar a força dassenhas dos usuários dos servidores da Rede > recuperar senhas perdidas Dicas de  utilização: > ler os manuais e entender como funciona o arquivo de configuração > é um utilitário local – não serve para utilização remota > fornecer pistas  ao john acelera a obtenção dos resultados > a redução do tamanho dos arquivos, reduz o tempo de processamento > existem listas de palavras (dicionários) disponíveis na Internet que podem  ser utilizadas  como auxílio www.tchelinux.org
  7. 7. John the ripper: formas de utilização no Linux #john  /etc/shadow Loaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32]) ovo              (ovo) 3resu           (user3) user22         (user2) 1user           (user1) guesses: 4  time: 0:00:00:07 8% (2)  c/s: 6476  trying: gocougs1 guesses: 4  time: 0:00:00:25 33% (2)  c/s: 6475  trying: safety6 Session aborted #john ­ ­wordfile=dicionario.lst /etc/shadow Loaded 5 passwords with 5 different salts (FreeBSD MD5  [32/32]) mimosa           (user4) mimosa           (tunia) cachorro         (user3) guesses: 3  time: 0:00:00:00 100%  c/s: 46.00  trying:  www.tchelinux.org
  8. 8. John the ripper: formas de utilização no Windows www.tchelinux.org
  9. 9. Varredores de portas (scanners) ● THC amap - http://www.thc.org/thc-amap/ (freeware) ● Superscan(freeware) http://www.foundstone.com/resources/proddesc/superscan.htm ● nmap - http://insecure.org www.tchelinux.org
  10. 10. o nmap Algumas possibilidades: > determinar quais hosts estão disponíveis na rede > determinar quais serviços os hosts da rede estão oferecendo > determinar quais os sistemas operacionais dos hosts > determinar qual o firewall que os hosts estão utilizando > descobrir (mapear) a rede > ... www.tchelinux.org
  11. 11. nmap: exemplos de utilização [root@lx04 tmp]# nmap ­O 10.2.176.148 Descobrir o  Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on  (10.2.176.148): sistema  (The 1598 ports scanned but not shown below are in state: closed) operacional  Port        State      Service 22/tcp      open        ssh do alvo 80/tcp      open        http 3306/tcp   open        mysql O sistema  Remote operating system guess: Linux Kernel 2.4.0 ­ 2.5.20 Uptime 157 days (since Wed Dec 10 16:58:44 2006) operacional  Nmap run completed ­­ 1 IP address (1 host up) scanned in 9 seconds do alvo [root@lx04 tmp]# nmap  lua.ceu Interesting ports on lua.ceu (10.25.25.25): Not shown: 1693 filtered ports Há um firewall PORT     STATE  SERVICE 22/tcp   open   ssh filtrando 80/tcp   open   http as portas 443/tcp  open  https 515/tcp  open   printer Nmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds www.tchelinux.org
  12. 12. nmap: a interface gráfica O comando que é “executado” pela interface  gráfica. www.tchelinux.org
  13. 13. Detectores de vulnerabilidades (scanners) ● Scanners de rede: ● analisam  um  host  ou  uma  rede  em  busca  de  vulnerabilidades  que  possam  ser  exproradas  por um atacante; ●  relacionam as possíveis falhas de segurança encontradas; ●  classifica as falhas de segurança encontradas; ●  informam como as falhas de segurança poderiam ser utilizadas por um   atacante; ●  sugerem correções para as vulnerabilidades encontradas; ●  utilizam plugins (para fácil atualização); ● geralmente possuem interfaces gráficas. – Lado bom: utilizados pelo Administrador para fazer uma auditoria na Rede. – Lado mau: utilizados por atacantes para a invasão de servidores. www.tchelinux.org
  14. 14. Pricipais scanners de vulnerabilidades ● Sara – (derivado do SATAN)   http://www­arc.com/sara/ ­  ● Retina ­ http://www.eeye.com/html/Products/Retina/index.html  ● Nessus ­ http://www.nessus.org Licenciamento, plataformas e interface do nessus:  versões anteriores a 3 ­ GPL  versão 3  ­ comercial     (os binários, para uso interno, são      gratuitos) www.tchelinux.org
  15. 15. A interface do nessus www.tchelinux.org
  16. 16. A interface do nessus www.tchelinux.org
  17. 17. Exemplo de gráfico fornecido pelo Nessus www.tchelinux.org
  18. 18. Exemplo de gráfico fornecido pelo Nessus www.tchelinux.org
  19. 19. Exploradores de vulnerabilidades (exploits) ● Exploram vulnerabilidades dos Servidores de Rede. Um exploit pode dar a um atacante privilégio de superusuário. ● Canvas - http://www.immunitysec.com/products-canvas.shtml ● Core Impact - http://www.coresecurity.com ● Metasploit Framework - http://www.metasploit.com/ www.tchelinux.org
  20. 20. Capturadores de pacotes (sniffers) ● Um sniffer é uma ferramenta que captura todos os pacotes que passam pela placa de rede. ● A maioria dos sniffers captura apenas os pacotes de seu domínio de colisão (bons para redes que usam HUBs). ● Sniffers mais sofisticados conseguem capturar os dados de máquinas conectadas a switches (cada porta é um domínio de colisão). ● Alguns switches permitem a utilização de “mirror” de porta. 4 domínios de colisão www.tchelinux.org
  21. 21. Principais sniffers ● Tcpdump - http://www.tcpdump.org/ A versão para o windows chama-se Windump. ● Kismet - http://www.kismetwireless.net/ ● Wireshark - http://www.wireshark.org/   monitora o tráfego de pacotes na rede   ferramenta útil no diagnóstico de problemas   suporta atualmente mais de 750 protocolos   restrito ao domínio de colisão   disponibiliza os resultados através de uma interface gráfica   suporta a aplicação de filtros de captura e/ou display   pode analisar arquivos gerados por outros capturadores de pacotes  www.tchelinux.org
  22. 22. A interface do Wireshark www.tchelinux.org
  23. 23. Sistemas de detecção de intrusos: IDS Host intrusion  detection system Network intrusion  detection system www.tchelinux.org
  24. 24. Principais IDSs ● Fragroute/Fragrouter - Licença BSD http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html ● OSSEC - http://www.ossec.net/ ● SNORT - http://www.snort.org Quem paga tem acesso às novas regras 5 dias antes da comunidade. www.tchelinux.org
  25. 25. Snort  registra em logs as anomalias encontradas no sistema  detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros Complementos: > swatch     Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log. > ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica. www.tchelinux.org
  26. 26. ACID: a interface do Snort www.tchelinux.org
  27. 27. Analisadores de vulnerabilidades de web servers ● Analisam servidores de páginas http e apontam as vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na verdade, scanners especializados em descobrir falhas de segurança em servidores web. ● Geralmente utilizam os protocolos http e https e podem fazer scanners furtivos (para evitar a detecção por IDSs). ● WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Projec ● Paros proxy http://www.parosproxy.org/index.shtml ● Nikto c http://www.cirt.net/code/nikto.shtml ● www.tchelinux.org
  28. 28. A interface do Nikto www.tchelinux.org
  29. 29. Detectores de rootkits ● Verificam se há rootkits * instalados no servidor. ● chkrootkit - http://www.chkrootkit.org/ ● RKHunter http://www.rootkit.nl/projects/rootkit_hunter.html ● AIDE ● http://sourceforge.net/projects/aide ● * Rootkits é um conjunto de programas (kit) que tem como objetivo conseguir obter o acesso como superusuário (root) ao sistema. www.tchelinux.org
  30. 30. O funcionamento do AIDE Procedimentos iniciais: => selecionar os diretórios que deverão ser protegidos => definir as regras de proteção => “fotografar” os diretórios que serão protegidos => gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot www.tchelinux.org
  31. 31. Exemplos de assinaturas do AIDE =>#aide-gera-md5-para-arquivar.sh MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8 MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3 MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b Hash MD5 sum previous sums ......: MD5 de 256 bits 5305aafe07abeb55da362460a3ed3997 www.tchelinux.org
  32. 32. Verificando a integridade #aide ­C Verificação  AIDE, version 0.10 ok :) ### All files match AIDE database.  Looks okay! #aide -C Verificação  AIDE found differences between database and filesystem!! não ok :( Start timestamp: 2006-12-09 14:07:42 Summary: Total number of files=9418,added files=0,removed files=0,changed files=2 Changed files: changed:/etc/adjtime changed:/etc/BWOV019.tgz Detailed information about changes: File: /etc/adjtime Mtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19 Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19 MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA== File: /etc/BWOV019.tgz Mtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51 Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51 MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA== www.tchelinux.org
  33. 33. Monitores do tráfego da rede     => mostram quais os protocolos que trafegam na rede; => mostram a porcentagem de tráfego de cada protocolo; => possibilitam a análise de um único endereço ou a análise de toda uma sub-rede; => geram relatórios/gráficos; => podem utilizar dados capturados por sniffers; www.tchelinux.org
  34. 34. Os melhores monitores para o tráfego da rede.     ● Ngrep http://www.packetfactory.net/projects/ngrep/ ● EtherApe c http://etherape.sourceforge.net/ ● Ntop c http://www.ntop.org www.tchelinux.org
  35. 35. Análise visual fornecida pelo etherape dominio dominio dominio dominio dominio www.tchelinux.org
  36. 36. Exemplo de relatório fornecido pelo ntop Maquina 001 Maquina 002 Maquina 003 Maquina 004 Maquina 005 Maquina 006 Maquina 007 Maquina 008 Maquina 009 Maquina 010 Maquina  011 Maquina 012 Maquina 013 Maquina 014 Maquina 015 Maquina 016 www.tchelinux.org
  37. 37. Exemplo de relatório fornecido pelo ntop www.tchelinux.org
  38. 38. Conclusões     ● Não existe nenhuma ferramenta completa (ou definitiva) relacionada à Segurança das redes de Computadores. ● A Segurança dos dados de uma Empresa é uma questão cultural, ou seja, envolve todos os funcionários. ● Um Administrador experiente e que conheça o negócio da Empresa é uma figura essencial no processo de segurança. www.tchelinux.org
  39. 39. Referências ●    www.securityfocus.com ● csrc.nist.gov/tools/tools.htm ● www.secureroot.com/security/tools/ ● www.darknet.org.uk/2006/04/top-15-securityhacking-tools- utilities/ ● www.sectools.org ● s-t-d.org/tools.html www.tchelinux.org
  40. 40. Dúvidas? Esta apresentação estará disponível em: www.tchelinux.org www.pollon.org Obrigado !!!   www.tchelinux.org

×