Upload
tchelinux-slides
View
2.771
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Ferramentas GPL para segurança Ferramentas GPL para segurança de redesde redes
www.tchelinux.orgPalestrante: Vanderlei Pollon
2º Seminário de Software Livre Tchelinux Edição Porto Alegre 01/12/2007
www.tchelinux.orgwww.tchelinux.org
Sobre o palestrante
● Nome: Vanderlei Pollon
● Graduação: Matemática (UFRGS)
● Pós-técnico: Redes de Computadores (UFRGS)
● Especialização 1: Informática e Telemática (UFRGS)
● Especialização 2: Tecnologias, Gerência e Segurança de Redes (UFRGS)
● Email: [email protected]
● Site: www.pollon.org
www.tchelinux.orgwww.tchelinux.org
Resumo deste trabalho● Fazer uma breve análise das principais
ferramentas GPL relacionadas a Redes de Computadores
● Abstract
Making a brief analysis of the main tools GPL related to Computer Networks
www.tchelinux.orgwww.tchelinux.org
legenda utilizada
ferramenta nativa para Linux
ferramenta nativa para MAC OS X
ferramenta nativa para FreeBSD
ferramenta nativa para Windows
ferramenta paga
é possível o acesso ao código fonte
a ferramenta possui interface gráfica
pode ser utilizada via linha de comando
www.tchelinux.orgwww.tchelinux.org
Verificadores de senhas fracas (cracker)● Tenta descobrir senhas utilizando-se de várias técnicas:
● utilizando “força bruta” ● capturando o tráfego da rede● fazendo uma verificação do cache
utilizando técnicas de criptoanálises
● Cain e Abel - http://www.oxid.it/cain.html
● RainbowCrack -(freeware)
http://www.antsight.com/zsl/rainbowcrack/
● John the Ripper -
http://www.openwall.com/john
www.tchelinux.orgwww.tchelinux.org
John the ripper
Algumas possibilidades:
> testar a força dassenhas dos usuários dos servidores da Rede> recuperar senhas perdidas
Dicas de utilização:
> ler os manuais e entender como funciona o arquivo de configuração> é um utilitário local – não serve para utilização remota> fornecer pistas ao john acelera a obtenção dos resultados> a redução do tamanho dos arquivos, reduz o tempo de processamento> existem listas de palavras (dicionários) disponíveis na Internet que podem ser utilizadas como auxílio
www.tchelinux.orgwww.tchelinux.org
John the ripper: formas de utilização no Linux
#john /etc/shadowLoaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32])ovo (ovo)3resu (user3)user22 (user2)1user (user1)guesses: 4 time: 0:00:00:07 8% (2) c/s: 6476 trying: gocougs1guesses: 4 time: 0:00:00:25 33% (2) c/s: 6475 trying: safety6Session aborted
#john wordfile=dicionario.lst /etc/shadowLoaded 5 passwords with 5 different salts (FreeBSD MD5 [32/32])mimosa (user4)mimosa (tunia)cachorro (user3)guesses: 3 time: 0:00:00:00 100% c/s: 46.00 trying:
www.tchelinux.orgwww.tchelinux.org
John the ripper: formas de utilização no Windows
www.tchelinux.orgwww.tchelinux.org
Varredores de portas (scanners)
● THC amap - http://www.thc.org/thc-amap/
(freeware)
● Superscan(freeware) http://www.foundstone.com/resources/proddesc/superscan.htm
● nmap - http://insecure.org
www.tchelinux.orgwww.tchelinux.org
o nmap
Algumas possibilidades:
> determinar quais hosts estão disponíveis na rede> determinar quais serviços os hosts da rede estão oferecendo> determinar quais os sistemas operacionais dos hosts> determinar qual o firewall que os hosts estão utilizando> descobrir (mapear) a rede> ...
www.tchelinux.orgwww.tchelinux.org
nmap: exemplos de utilização[root@lx04 tmp]# nmap O 10.2.176.148Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on (10.2.176.148):(The 1598 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh80/tcp open http3306/tcp open mysqlRemote operating system guess: Linux Kernel 2.4.0 2.5.20Uptime 157 days (since Wed Dec 10 16:58:44 2006)Nmap run completed 1 IP address (1 host up) scanned in 9 seconds
[root@lx04 tmp]# nmap lua.ceuInteresting ports on lua.ceu (10.25.25.25):Not shown: 1693 filtered portsPORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open https515/tcp open printerNmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds
Descobrir o sistema
operacional do alvo
O sistema operacional
do alvo
Há um firewallfiltrandoas portas
www.tchelinux.orgwww.tchelinux.org
nmap: a interface gráfica
O comando queé “executado”pela interface
gráfica.
www.tchelinux.orgwww.tchelinux.org
Detectores de vulnerabilidades (scanners)● Scanners de rede:
● analisam um host ou uma rede em busca de vulnerabilidades que possam ser exproradas por um atacante;
● relacionam as possíveis falhas de segurança encontradas;
● classifica as falhas de segurança encontradas;
● informam como as falhas de segurança poderiam ser utilizadas por um atacante;
● sugerem correções para as vulnerabilidades encontradas;
● utilizam plugins (para fácil atualização);
● geralmente possuem interfaces gráficas.
– Lado bom: utilizados pelo Administrador para fazer uma auditoria na Rede.
– Lado mau: utilizados por atacantes para a invasão de servidores.
www.tchelinux.orgwww.tchelinux.org
Pricipais scanners de vulnerabilidades
● Sara – (derivado do SATAN)
http://wwwarc.com/sara/
● Retina http://www.eeye.com/html/Products/Retina/index.html
● Nessus http://www.nessus.org
Licenciamento, plataformas e interface do nessus:
versões anteriores a 3 GPL
versão 3 comercial (os binários, para uso interno, são gratuitos)
www.tchelinux.orgwww.tchelinux.org
A interface do nessus
www.tchelinux.orgwww.tchelinux.org
A interface do nessus
www.tchelinux.orgwww.tchelinux.org
Exemplo de gráfico fornecido pelo Nessus
www.tchelinux.orgwww.tchelinux.org
Exemplo de gráfico fornecido pelo Nessus
www.tchelinux.orgwww.tchelinux.org
Exploradores de vulnerabilidades (exploits)
● Exploram vulnerabilidades dos Servidores de Rede. Um exploit pode dar a um atacante privilégio de superusuário.
● Canvas -
http://www.immunitysec.com/products-canvas.shtml
● Core Impact - http://www.coresecurity.com
● Metasploit Framework -
http://www.metasploit.com/
www.tchelinux.orgwww.tchelinux.org
Capturadores de pacotes (sniffers)● Um sniffer é uma ferramenta que captura todos os pacotes que
passam pela placa de rede.
● A maioria dos sniffers captura apenas os pacotes de seu domínio de colisão (bons para redes que usam HUBs).
● Sniffers mais sofisticados conseguem capturar os dados de máquinas conectadas a switches (cada porta é um domínio de colisão).
● Alguns switches permitem a utilização de “mirror” de porta.
4 domínios decolisão
www.tchelinux.orgwww.tchelinux.org
Principais sniffers
● Tcpdump - http://www.tcpdump.org/
A versão para o windows chama-se Windump.
● Kismet - http://www.kismetwireless.net/
● Wireshark - http://www.wireshark.org/
monitora o tráfego de pacotes na rede ferramenta útil no diagnóstico de problemas suporta atualmente mais de 750 protocolos restrito ao domínio de colisão disponibiliza os resultados através de uma interface gráfica suporta a aplicação de filtros de captura e/ou display pode analisar arquivos gerados por outros capturadores de pacotes
www.tchelinux.orgwww.tchelinux.org
A interface do Wireshark
www.tchelinux.orgwww.tchelinux.org
Sistemas de detecção de intrusos: IDS
Host intrusion detection system
Network intrusion detection system
Host intrusion detection system
www.tchelinux.orgwww.tchelinux.org
Principais IDSs
● Fragroute/Fragrouter -
Licença BSD
http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html
● OSSEC - http://www.ossec.net/
● SNORT - http://www.snort.org
Quem paga tem acesso às novasregras 5 dias antes da
comunidade.
www.tchelinux.orgwww.tchelinux.org
Snort
registra em logs as anomalias encontradas no sistema
detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros
Complementos:> swatch Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log.
> ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica.
www.tchelinux.orgwww.tchelinux.org
ACID: a interface do Snort
www.tchelinux.orgwww.tchelinux.org
Analisadores de vulnerabilidades de web servers● Analisam servidores de páginas http e apontam as
vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na verdade, scanners especializados em descobrir falhas de segurança em servidores web.
● Geralmente utilizam os protocolos http e https e podem fazer scanners furtivos (para evitar a detecção por IDSs).
● WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
● Paros proxy
http://www.parosproxy.org/index.shtml
● Nikto
http://www.cirt.net/code/nikto.shtml
●
c
www.tchelinux.orgwww.tchelinux.org
A interface do Nikto
www.tchelinux.orgwww.tchelinux.org
Detectores de rootkits● Verificam se há rootkits * instalados no servidor.
● chkrootkit - http://www.chkrootkit.org/
● RKHunter
http://www.rootkit.nl/projects/rootkit_hunter.html
● AIDE
● http://sourceforge.net/projects/aide
● * Rootkits é um conjunto de programas (kit) que tem como objetivo conseguir obter o acesso como superusuário (root) ao sistema.
www.tchelinux.orgwww.tchelinux.org
O funcionamento do AIDE
Procedimentos iniciais:
=> selecionar os diretórios que deverão ser protegidos
=> definir as regras de proteção
=> “fotografar” os diretórios que serão protegidos
=> gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot
www.tchelinux.orgwww.tchelinux.org
Exemplos de assinaturas do AIDE
=>#aide-gera-md5-para-arquivar.sh
MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d
MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8
MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3
MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b
MD5 sum previous sums ......: 5305aafe07abeb55da362460a3ed3997
HashMD5 de 256 bits
www.tchelinux.orgwww.tchelinux.org
Verificando a integridade#aide CAIDE, version 0.10
### All files match AIDE database. Looks okay!
#aide -CAIDE found differences between database and filesystem!!Start timestamp: 2006-12-09 14:07:42Summary:Total number of files=9418,added files=0,removed files=0,changed files=2Changed files:changed:/etc/adjtimechanged:/etc/BWOV019.tgzDetailed information about changes:File: /etc/adjtimeMtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA==File: /etc/BWOV019.tgzMtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA==
Verificação ok :)
Verificação não ok :(
www.tchelinux.orgwww.tchelinux.org
Monitores do tráfego da rede
=> mostram quais os protocolos que trafegam na rede;
=> mostram a porcentagem de tráfego de cada protocolo;
=> possibilitam a análise de um único endereço ou a análise de toda uma sub-rede;
=> geram relatórios/gráficos;
=> podem utilizar dados capturados por sniffers;
www.tchelinux.orgwww.tchelinux.org
Os melhores monitores para o tráfego da rede.
● Ngrep
http://www.packetfactory.net/projects/ngrep/
●EtherApe
http://etherape.sourceforge.net/
● Ntop http://www.ntop.org
c
c
www.tchelinux.orgwww.tchelinux.org
Análise visual fornecida pelo etherape
dominio
dominio
dominio
dominio
dominio
www.tchelinux.orgwww.tchelinux.org
Exemplo de relatório fornecido pelo ntop
Maquina 001
Maquina 002
Maquina 004
Maquina 005
Maquina 003
Maquina 006
Maquina 007
Maquina 008
Maquina 009
Maquina 010
Maquina 011
Maquina 012
Maquina 013
Maquina 014
Maquina 015
Maquina 016
www.tchelinux.orgwww.tchelinux.org
Exemplo de relatório fornecido pelo ntop
www.tchelinux.orgwww.tchelinux.org
Conclusões
● Não existe nenhuma ferramenta completa (ou definitiva) relacionada à Segurança das redes de Computadores.
● A Segurança dos dados de uma Empresa é uma questão cultural, ou seja, envolve todos os funcionários.
● Um Administrador experiente e que conheça o negócio da Empresa é uma figura essencial no processo de segurança.
www.tchelinux.orgwww.tchelinux.org
Referências
● www.securityfocus.com
● csrc.nist.gov/tools/tools.htm
● www.secureroot.com/security/tools/
● www.darknet.org.uk/2006/04/top-15-securityhacking-tools-utilities/
● www.sectools.org
● s-t-d.org/tools.html
www.tchelinux.orgwww.tchelinux.org
D vidas?ú
Esta apresenta o estar dispon vel em:çã á íwww.tchelinux.orgwww.pollon.org
Obrigado !!!