O documento apresenta ferramentas de software livre para segurança de redes, descrevendo brevemente ferramentas como John the Ripper para testar senhas, Nmap para varredura de portas, Nessus para detecção de vulnerabilidades, Wireshark para captura de pacotes e Snort como sistema de detecção de intrusos. O palestrante também discute ferramentas como Nikto para análise de servidores web e AIDE para detecção de rootkits.
Ferramentas GPL para segurança de redes - Vanderlei Pollon
1. Ferramentas GPL para segurança
de redes
www.tchelinux.org
Palestrante: Vanderlei Pollon
2º Seminário de Software Livre Tchelinux Edição Porto Alegre 01/12/2007
2. Sobre o palestrante
●
Nome: Vanderlei Pollon
●
Graduação: Matemática (UFRGS)
●
Pós-técnico: Redes de Computadores (UFRGS)
●
Especialização 1: Informática e Telemática (UFRGS)
●
Especialização 2: Tecnologias, Gerência e Segurança de
Redes (UFRGS)
●
Email: vanderlei@pollon.org
●
Site: www.pollon.org
www.tchelinux.org
3. Resumo deste trabalho
●
Fazer uma breve análise das principais
ferramentas GPL relacionadas a Redes de
Computadores
●
Abstract
Making a brief analysis of the main tools GPL
related to Computer Networks
www.tchelinux.org
4. legenda utilizada
ferramenta nativa para Linux
ferramenta nativa para MAC OS X
ferramenta nativa para FreeBSD
ferramenta nativa para Windows
ferramenta paga
é possível o acesso ao código fonte
a ferramenta possui interface gráfica
pode ser utilizada via linha de comando
www.tchelinux.org
5. Verificadores de senhas fracas (cracker)
●
Tenta descobrir senhas utilizando-se de várias técnicas:
●
utilizando “força bruta”
●
capturando o tráfego da rede
●
fazendo uma verificação do cache
utilizando técnicas de criptoanálises
●
Cain e Abel - http://www.oxid.it/cain.html
●
RainbowCrack -(freeware)
http://www.antsight.com/zsl/rainbowcrack/
●
John the Ripper -
http://www.openwall.com/john
www.tchelinux.org
11. nmap: exemplos de utilização
[root@lx04 tmp]# nmap O 10.2.176.148 Descobrir o
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on (10.2.176.148): sistema
(The 1598 ports scanned but not shown below are in state: closed) operacional
Port State Service
22/tcp open ssh
do alvo
80/tcp open http
3306/tcp open mysql O sistema
Remote operating system guess: Linux Kernel 2.4.0 2.5.20
Uptime 157 days (since Wed Dec 10 16:58:44 2006) operacional
Nmap run completed 1 IP address (1 host up) scanned in 9 seconds do alvo
[root@lx04 tmp]# nmap lua.ceu
Interesting ports on lua.ceu (10.25.25.25):
Not shown: 1693 filtered ports
Há um firewall
PORT STATE SERVICE
22/tcp open ssh filtrando
80/tcp open http as portas
443/tcp open https
515/tcp open printer
Nmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds
www.tchelinux.org
12. nmap: a interface gráfica
O comando que
é “executado”
pela interface
gráfica.
www.tchelinux.org
13. Detectores de vulnerabilidades (scanners)
●
Scanners de rede:
●
analisam um host ou uma rede em busca de vulnerabilidades que possam ser exproradas
por um atacante;
●
relacionam as possíveis falhas de segurança encontradas;
●
classifica as falhas de segurança encontradas;
●
informam como as falhas de segurança poderiam ser utilizadas por um atacante;
●
sugerem correções para as vulnerabilidades encontradas;
●
utilizam plugins (para fácil atualização);
●
geralmente possuem interfaces gráficas.
– Lado bom: utilizados pelo Administrador para fazer uma
auditoria na Rede.
– Lado mau: utilizados por atacantes para a invasão de
servidores.
www.tchelinux.org
14. Pricipais scanners de vulnerabilidades
●
Sara – (derivado do SATAN)
http://wwwarc.com/sara/
●
Retina http://www.eeye.com/html/Products/Retina/index.html
●
Nessus http://www.nessus.org
Licenciamento, plataformas e interface do nessus:
versões anteriores a 3 GPL
versão 3 comercial
(os binários, para uso interno, são
gratuitos)
www.tchelinux.org
19. Exploradores de vulnerabilidades (exploits)
●
Exploram vulnerabilidades dos Servidores de Rede. Um exploit
pode dar a um atacante privilégio de superusuário.
●
Canvas -
http://www.immunitysec.com/products-canvas.shtml
●
Core Impact - http://www.coresecurity.com
●
Metasploit Framework -
http://www.metasploit.com/
www.tchelinux.org
20. Capturadores de pacotes (sniffers)
●
Um sniffer é uma ferramenta que captura todos os pacotes que
passam pela placa de rede.
●
A maioria dos sniffers captura apenas os pacotes de seu domínio
de colisão (bons para redes que usam HUBs).
●
Sniffers mais sofisticados conseguem capturar os dados de
máquinas conectadas a switches (cada porta é um domínio de
colisão).
●
Alguns switches permitem a utilização de “mirror” de porta.
4 domínios de
colisão
www.tchelinux.org
21. Principais sniffers
●
Tcpdump - http://www.tcpdump.org/
A versão para o windows chama-se Windump.
●
Kismet - http://www.kismetwireless.net/
●
Wireshark - http://www.wireshark.org/
monitora o tráfego de pacotes na rede
ferramenta útil no diagnóstico de problemas
suporta atualmente mais de 750 protocolos
restrito ao domínio de colisão
disponibiliza os resultados através de uma interface gráfica
suporta a aplicação de filtros de captura e/ou display
pode analisar arquivos gerados por outros capturadores de pacotes
www.tchelinux.org
23. Sistemas de detecção de intrusos: IDS
Host intrusion
detection system
Network intrusion
detection system
www.tchelinux.org
24. Principais IDSs
●
Fragroute/Fragrouter -
Licença BSD
http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html
●
OSSEC - http://www.ossec.net/
●
SNORT - http://www.snort.org
Quem paga tem acesso às novas
regras 5 dias antes da
comunidade.
www.tchelinux.org
25. Snort
registra em logs as anomalias encontradas no sistema
detecta uma variedade de ataques como: buffer overflows,
scanners furtivos, ataques de CGI varreduras de nmap e outros
Complementos:
> swatch
Monitorador de logs. Pode ser programado para tomar
certas providências quando certa ocorrência é
encontrada em determinada log.
> ACID
Analysis Console for Incident Databases. Útil para
administrar o snort por interface gráfica.
www.tchelinux.org
27. Analisadores de vulnerabilidades de web servers
●
Analisam servidores de páginas http e apontam as
vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na
verdade, scanners especializados em descobrir falhas de
segurança em servidores web.
●
Geralmente utilizam os protocolos http e https e podem fazer
scanners furtivos (para evitar a detecção por IDSs).
●
WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Projec
●
Paros proxy
http://www.parosproxy.org/index.shtml
●
Nikto c
http://www.cirt.net/code/nikto.shtml
●
www.tchelinux.org
29. Detectores de rootkits
●
Verificam se há rootkits * instalados no servidor.
●
chkrootkit - http://www.chkrootkit.org/
●
RKHunter
http://www.rootkit.nl/projects/rootkit_hunter.html
●
AIDE
●
http://sourceforge.net/projects/aide
●
* Rootkits é um conjunto de programas (kit) que tem como
objetivo conseguir obter o acesso como superusuário
(root) ao sistema.
www.tchelinux.org
30. O funcionamento do AIDE
Procedimentos iniciais:
=> selecionar os diretórios que deverão ser protegidos
=> definir as regras de proteção
=> “fotografar” os diretórios que serão protegidos
=> gerar um hash dos arquivos básicos do Aide: conf,
db, binário e setor de boot
www.tchelinux.org
31. Exemplos de assinaturas do AIDE
=>#aide-gera-md5-para-arquivar.sh
MD5 sum of /etc/aide.conf ..:
d68a8e95274ff866d2deb6980efea96d
MD5 sum of /usr/bin/aide ...:
d4317d10928c9a0b71f2e052c320d5a8
MD5 sum of /var/aide/aide.db:
bb74b2bad00af6d77219abf041d3c4b3
MD5 sum of boot sector .....:
bf619eac0cdf3f68d496ea9344137e8b
Hash
MD5 sum previous sums ......: MD5 de 256 bits
5305aafe07abeb55da362460a3ed3997
www.tchelinux.org
32. Verificando a integridade
#aide C Verificação
AIDE, version 0.10 ok :)
### All files match AIDE database. Looks okay!
#aide -C Verificação
AIDE found differences between database and filesystem!! não ok :(
Start timestamp: 2006-12-09 14:07:42
Summary:
Total number of files=9418,added files=0,removed files=0,changed
files=2
Changed files:
changed:/etc/adjtime
changed:/etc/BWOV019.tgz
Detailed information about changes:
File: /etc/adjtime
Mtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19
Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19
MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA==
File: /etc/BWOV019.tgz
Mtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51
Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51
MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA==
www.tchelinux.org
33. Monitores do tráfego da rede
=> mostram quais os protocolos que trafegam na rede;
=> mostram a porcentagem de tráfego de cada
protocolo;
=> possibilitam a análise de um único endereço ou a
análise de toda uma sub-rede;
=> geram relatórios/gráficos;
=> podem utilizar dados capturados por sniffers;
www.tchelinux.org
34. Os melhores monitores para o tráfego da rede.
●
Ngrep
http://www.packetfactory.net/projects/ngrep/
●
EtherApe c
http://etherape.sourceforge.net/
●
Ntop c
http://www.ntop.org
www.tchelinux.org
38. Conclusões
●
Não existe nenhuma ferramenta completa (ou
definitiva) relacionada à Segurança das redes de
Computadores.
●
A Segurança dos dados de uma Empresa é uma
questão cultural, ou seja, envolve todos os
funcionários.
●
Um Administrador experiente e que conheça o
negócio da Empresa é uma figura essencial no
processo de segurança.
www.tchelinux.org