Ferramentas de Auditoria de Sistemas

Transcrição

1 UnidadeG Segurança em Redes de Computadores Unidade G Ferramentas de Auditoria de Sistemas Caro aluno(a), o gerenciamento e a segurança em redes de computadores são tarefas que requerem muita atenção e dedicação por parte dos administradores de rede, os quais devem contar com boas ferramentas para tentar se defender de invasões e ataques em seus ambientes e sistemas. Na aula de hoje discutiremos as principais ferramentas de monitoramento e auditoria de segurança de redes existentes no mercado para as plataformas Linux e Windows. Ao final desta leitura, você compreenderá que a adoção dessas ferramentas é a solução para se alcançar níveis mais elevados de segurança em sistemas e redes compartilhadas. Tenha uma ótima leitura! O que é e para que serve a auditoria de sistemas? A auditoria de sistemas é o processo que consiste em analisar os sistemas de informação, o ambiente computacional, a segurança das informações, o controle interno da entidade, identificando deficiências e pontos fortes. É essencialmente operacional, e também chamada de auditoria de informática ou auditoria computacional. Um processo de auditoria exerce uma ação preventiva, saneadora e moralizadora, para confirmar a veracidade dos registros. Ao realizar uma auditoria de sistemas, os principais objetivos são: 1. Verificar e constatar a eficácia do sistema; 2. Atestar a segurança física e lógica do sistema. Realizar auditorias é necessário porque um computador conectado a uma rede, seja uma simples máquina cliente ou um servidor de serviços e informações, está suscetível a sofrer diversas formas de intervenções e ataques. Dentre os riscos envolvidos, pode-se destacar: Acesso de pessoas não autorizadas aos ambientes operacionais; Manipulação indevida de recursos e informações; Computadores podem ser usados por pessoas não autorizadas; Instalações não apropriadas, sem a devida manutenção e guarda inadequada de equipamentos e mídias de dados podem levar a contingências múltiplas, tais como perda de informações e dados; Possibilidade de acesso a informações confidenciais ou de uso restrito, por pessoas não autorizadas, utilizando senha de pessoas autorizadas; Falta de monitoramento de acessos pode resultar na não detecção de possíveis fraudes e/ou irregularidades. Neste sentido, diversas ferramentas para auditoria de sistemas estão disponíveis. Então, cabe a você, administrador da rede, utilizá-las para detectar e prevenir problemas que poderiam causar fortes dores de cabeça bem como comprometer a funcionalidade e a integridade do sistema. 49

2 Ferramentas de auditoria de sistemas para o S.O. Linux O sistema operacional Unix foi o ambiente no qual a Internet se desenvolveu, sendo, ainda hoje, um sistema operacional muito utilizado na rede. Diversos sistemas operacionais derivados do Unix, conhecidos como Unixlike, estão disponíveis e também são largamente utilizados atualmente. Dentre eles, o Linux se destaca, pois, como já sabemos, é um sistema que une diversas características de um sistema operacional robusto com as vantagens de um sistema operacional moderno e amigável. O Linux, por ter sido desenvolvido na universidade (Helsinki, Finlândia), com objetivos acadêmicos, não foi concebido com uma preocupação maior em relação a todos os aspectos de segurança que poderiam ser envolvidos. E isto deu margem à existência de vários pontos de vulnerabilidade em sistemas de computadores que adotam tal plataforma. Embora, nos dias atuais, a ampla comunidade de usuários, desenvolvedores e simpatizantes do Linux venha trabalhando para tornar o Linux um sistema operacional bastante seguro, diversos outros usuários, especialmente os crackers e os hackers, trabalham no sentido contrário, procurando e investigando brechas e falhas para poderem invadir e acessar informações de terceiros. Autenticação fraca, serviços como telnet, ftp, rlogin, finger (os quais disponibilizam informações a respeito do usuário e do sistema, sem nenhum tipo de proteção, como a criptografia de informações, por exemplo) e protocolos que se permitem monitorar (como o protocolo SNMP Simple Network Management Protocol) são causas de terríveis dores de cabeça para os administradores de redes. Além disso, a existência de vírus (programas que se inserem dentro de outros programas), de vermes (executáveis que podem rodar independentemente e trafegam de máquina em máquina através das conexões da rede), e de cavalos de tróia (parecem com aplicativos que o usuário quer rodar, mas realizam tarefas como apagar arquivos, formatar unidades, etc.) expõe seu ambiente a mais perigos. Para o mundo Linux, algumas ferramentas de auditoria estão disponíveis e são excelentes aliadas à tarefa de administração. Vejamos algumas! COPS O COPS (Computer Oracle and Password System) é uma coleção de utilitários de segurança, projetada para auxiliar administradores, programadores, operadores e consultores de sistemas Linux. Ela realiza uma série de verificações, como determinar se arquivos importantes estão com permissões inadequadas, verificar senhas fáceis, etc. Esse pacote de software divide-se em três partes-chave: A primeira é formada pelo conjunto de ferramentas propriamente dito, responsável pela checagem dos aspectos de segurança de forma automática. A segunda parte consiste na documentação, detalhando como configurar, operar e interpretar os resultados obtidos pela execução do programa. Finalmente, existe um documento com uma lista de possíveis extensões que poderão aparecer em futuras versões do COPS, assim como apontadores para outros trabalhos sobre segurança em sistemas Unix-like. Essa ferramenta não corrige os erros encontrados, faz apenas o alerta para o seu usuário sobre os problemas potenciais de segurança existentes no sistema. Ela gera seu relatório em arquivos ou envia mensagens eletrônicas contendo os resultados de sua análise. Não precisa de permissões especiais para ser executado, ou seja, qualquer usuário pode ter acesso ao software. No entanto, quando isso é feito com as permissões de administrador, o aplicativo alcança os resultados máximos esperados. Além disso, a realização dos testes de segurança pelo COPS deve ser feita localmente em cada máquina da rede a ser analisada, pois não é possível a verificação remota de computadores. Todos os programas que compõem esta ferramenta são escritos em Bourne Shell ou linguagem C. Sugere-se realizar a execução do COPS pelo menos uma vez por semana. A utilização diária desse pacote seria o ideal, pois mesmo que ele não encontre um erro imediatamente, os problemas e falhas que são detectadas são do tipo que podem aparecer a qualquer momento. Para uma maior facilidade de seus usuários, a ferramenta pode ser inicializada pelo cron. 50

3 SATAN O SATAN é um complexo sistema de análise de segurança para auditoria de sistemas Unix-like. Seu funcionamento consiste na coleta da maior quantidade possível de informações sobre um host e no exame da disponibilidade de serviços de rede do tipo login, finger, NFS, NIS, ftp, entre outros. As informações que são relatadas pelo SATAN incluem tanto os tipos de serviços de protocolo TCP/IP disponibilizados pelo host, quanto as falhas potenciais nesses serviços e no sistema. Essas falhas geralmente são causadas por erros de configuração ou bugs conhecidos dos diversos daemons do sistema. Além disso, ele pode não apenas analisar diversos hosts individualmente, mas também procurar falhas baseadas em hosts confiáveis (se um host confia em outro, então os usuários que tenham o mesmo username em ambos podem se logar de um host para outro sem ter que digitar sua senha). A ferramenta tem três módulos de rastreamento: o light (leve), o medium (médio) e o heavy (profundo). No módulo light, ela faz apenas uma consulta ao sistema, mas não gera muitas informações a seu respeito. O módulo medium é bem mais complexo: nele, o SATAN procura serviços do tipo finger (porta 79), gopher (porta 70), Web (porta 80), FTP (porta 21), telnet (porta 23), sendmail (porta 25), nmtp (porta 119) e uucp (porta 540). Já no módulo heavy, o SATAN testa a existência de todos os serviços possíveis, inclusive os de portas não convencionais, como, por exemplo, telnet em porta 933. Tudo o que for analisado e coletado fica disponível em vários arquivos de log no sistema. Tais informações são utilizadas tanto para prevenir possíveis invasões quanto para coletar dados necessários para se invadir o sistema, dependendo do tipo de usuário que esteja executando a ferramenta, se um administrador preocupado com a segurança de uma rede, ou se um hacker mal intencionado. Gabriel O software Gabriel é um detector da utilização do SATAN. Ele fornece ao administrador de sistemas um alerta de possíveis invasões, detectadas e identificadas através de sondagens e investigações na rede. Existem dois módulos disponíveis pela ferramenta: o cliente e o servidor. O cliente Gabriel reporta as falhas encontradas num determinado segmento da rede ao seu servidor. Este recolhe todas as informações e as envia para o administrador do sistema. Tal notificação é realizada através de relatórios e s. Os programas de instalação de ambos, cliente e servidor desse software, são fáceis de serem usados. Crack A ferramenta Crack é um programa projetado para, rapidamente, checar e localizar senhas fáceis de usuários em arquivos de senhas em um sistema operacional Unix-like. Seu funcionamento consiste numa comparação entre as senhas de usuários com um dicionário de palavras próprio desse pacote de software. Outros dicionários podem ser adicionados para efeito de uma pesquisa mais completa, como, por exemplo, dicionários de outras línguas. Para se observar os resultados obtidos pela execução do Crack, deve-se acionar um programa incluso na ferramenta, que fará a transformação necessária nas informações para que estas se tornem legíveis para um administrador (como o caso da utilização de arquivos no formato HTML). O Crack pode ser configurado para enviar s para os usuários cujas senhas foram consideradas fáceis pelo programa. Sugere-se fazer o bloqueio dessas contas imediatamente, pois a experiência comprova que a maioria dos usuários alertados não realiza a modificação de suas senhas. SAINT A ferramenta SAINT (Security Administrator s Integrated Network Tool) incorpora, entre outras, as seguintes características: maior detecção de segurança para servidores web e melhor classificação de vulnerabilidades intrínsecas ao sendmail e ao NFS. A SAINT é uma versão melhorada do SATAN. Assim como este último, possui uma interface web e trabalha emitindo sondas, que fazem um rastreamento no sistema analisado. Dependendo do tamanho da rede, pode ser executada durante algumas horas (no modo background), assim como também 51

4 é possível se estabelecer timeouts para a realização dos testes. Da mesma forma que o SATAN, ela trabalha com três níveis de varredura (leve, média e profunda). Em alguns casos, quando do encontro de falhas graves de segurança, a ferramenta causa a queda de máquinas, visando à correção imediata do problema. Os testes são feitos nas portas clássicas correspondentes a cada serviço oferecido. Os relatórios sobre a situação da rede são gerados em arquivos no formato HMTL, onde são apresentadas explicações sobre os problemas encontrados. Pode acontecer de ser impreciso às vezes, quando do apontamento de falsos pontos fracos, os quais podem ser graves, pouco graves, e assim por diante, de acordo com uma classificação pré-existente na SAINT. O administrador é então alertado sobre os erros encontrados e pode fazer uma checagem minuciosa para saber a veracidade de tais informações. A SAINT é uma excelente ferramenta para a realização de mapeamento dos serviços da rede, fornecendo uma boa análise inicial do sistema. Ela possibilita a configuração do nível de incursão do programa na rede, tanto para restringir as máquinas que serão analisadas, quanto para evitar que computadores em sub-redes vizinhas não sejam verificados em vão. Tiger Muito parecido com o SATAN, o Tiger é um conjunto de scripts Bourne Shell, programas em C e arquivos de dados que visam fazer uma auditoria de segurança num sistema Unix-like. Sua maior diferença em relação ao SATAN reside no fato de que a ênfase do Tiger está na procura por erros de permissões em arquivos, e não na área de serviços de rede, que é o caso do SATAN. Basicamente, quando é executada, essa ferramenta procura por um arquivo de configuração (geralmente tigerrc) que irá limitar ou ampliar a quantidade de testes aplicados, dependendo do desejo do usuário. Ele então irá executar uma série de scripts e retornará as falhas de segurança encontradas. TCP Wrapper Também conhecido como LogTcp, o TCP Wrapper é utilizado para monitorar e logar as conexões IP de entrada em uma rede, assim como limitar e controlar acessos à mesma. É uma ferramenta simples, de monitoramento e controle, e não requer nenhuma modificação em software ou arquivos de configuração previamente existentes no sistema. O TCP Wrapper permite que um administrador de sistemas Linux possa controlar o acesso aos vários serviços da rede através de uso de uma lista de controle de acesso. Qualquer conexão solicitada tem sua hora e origem logadas. Se o controle de acesso está ligado, uma lista será checada para ver se a origem da conexão pode ou não acessar aquele serviço IP. As informações de login no sistema, dessa forma, podem ser usadas para prevenir e monitorar ataques na rede. O funcionamento do programa se baseia na execução de um processo daemon que espera por todos os tipos de conexões de entrada na rede. Sempre que uma nova conexão é feita, o daemon é disparado e faz a checagem correspondente. Após sua execução, ele volta a dormir, à espera de outras conexões. Tripwire Ao contrário das outras ferramentas, o objetivo do Tripwire é detectar se já houve algum tipo de mudança ou intrusão no sistema. Ele é um analisador de integridade de arquivos e diretórios, funcionando como um utilitário que compara um conjunto de arquivos com informações previamente armazenadas numa base de dados. Qualquer diferença é detectada e armazenada em um arquivo de log, incluindo arquivos que foram apagados ou criados. Geralmente, ele é executado a partir do cron, de tempos em tempos, e permite que se conclua, com um bom grau de confiança, que os arquivos binários principais não foram alterados. Alguns de 52

5 seus arquivos componentes são escritos na linguagem Perl, necessitando que o administrador da rede tenha instalado o suporte a esta linguagem em seu sistema. ISS O ISS (Internet Security Scanner) é considerado uma espécie de SATAN, porém mais leve. Sua versão comercial possui algumas vantagens, dentre elas uma interface gráfica e a possibilidade de se fazer análise de segurança para servidores web. Ele realiza uma varredura automática em computadores interconectados via TCP/IP em busca de falhas de segurança. Ele irá interrogar todos os computadores numa faixa específica de endereçamento IP, determinando a postura de segurança de cada um com respeito a vários problemas comuns nos sistemas (vulnerabilidades de segurança no sendmail, no setup de ftp anônimo, no NFS e em contas padrões em sistemas Unix-like, como guest, bbs, lp, as quais não podem ter senhas triviais, por exemplo). O ISS pode realizar testes em ambientes remotos e consegue retornar um bom feedback para os administradores, que poderão reexaminar as falhas apontadas, verificar o estado de seus sistemas e realizar as ações corretivas como indicadas. É importante salientar que algumas das ferramentas anteriormente mencionadas conseguem detectar o uso do ISS, tais como o COPS, o próprio ISS e o TCP Wrapper. Um ataque via ISS pode ser notado pelo aparecimento de alertas no sistema, como o recebimento de mensagens pelo postmaster do sistema em questão. Lynis O Lynis é uma ferramenta de auditoria para sistemas Unix-like. Ele varre o sistema e os softwares instalados para detectar problemas de segurança. Além de informações de segurança, o Lynis também realiza uma verificação para descobrir informações sobre o sistema operacional, os pacotes instalados e os erros de configuração. Este programa automatiza o processo de auditoria, sendo eficiente na detecção de vulnerabilidades e de malwares desenvolvidos para sistemas operacionais Unix-like. Ele pode ser executado sem instalação prévia, podendo rodar a partir de um CD, DVD ou pendrive. Ferramentas de auditoria de sistemas para Windows O sistema operacional Windows possui algumas particularidades, quando comparado a outros sistemas como o Linux. Podemos classificar os problemas de segurança do Windows como exclusivos ou genéricos. Os exclusivos são aqueles que não possuem um correspondente no Linux, enquanto os genéricos ocorrem em todos os sistemas. Entre os problemas denominados exclusivos podemos identificar como mais graves os vírus e os cavalos de tróia. O grau de perigo que estas ameaças atingem no Windows é muito elevado ao contrário do Linux. Este último também possui problemas relacionados a cavalos de tróia e a instalação de backdoors e rootkits, mas esses não são tão facilmente difundidos e sua instalação requer muita experiência por parte do invasor. Os problemas mais comuns, ou genéricos, de segurança na plataforma Windows estão relacionados com a instalação do sistema operacional, a instalação de complementos ao sistema operacional e com a dificuldade de se manter o sistema atualizado. Conforme já dito anteriormente, esses problemas possuem correspondentes no Linux. É importante você ter em mente que as atualizações do Windows sempre trazem alguns benefícios em relação à segurança. Contudo, o Windows, por ser um sistema operacional proprietário e largamente utilizado no mundo todo, é muito visado. Assim, problemas de segurança para este sistema operacional continuarão a surgir. Outro ponto a ser considerado no mundo Windows está relacionado à crença de que, pelo fato de o ambiente Windows ter uma interface gráfica amigável, qualquer pessoa pode administrá-lo e configurá-lo de maneira segura. Isto é uma falácia! Não é bem assim. A configuração desse sistema deve ser feita de maneira cuidadosa. Vale a pena você observar que, geralmente, as configurações default são inseguras. Sendo assim, muitas permissões de acesso podem ser mal configuradas e, então, se tornar uma porta aberta para invasões. O Windows também não 53

6 possui um bom gerador de relatórios de eventos, se comparado com o Linux. Os logs gerados ficam geralmente espalhados nas máquinas da rede e não há uma integração entre eles. A falta de integração prejudica a análise e a descoberta de problemas. L0phtCrack Trata-se de uma ferramenta comercial, cujo objetivo é quebrar senhas em sistemas Windows. Senhas essas que estão armazenadas de maneira criptografada na estação de trabalho controladora de senhas (característica desse sistema operacional). O L0phtCrack tenta fazer essa quebra utilizando dois métodos. O primeiro deles é realizado com o auxílio de um dicionário de senhas, que pode ser fornecido pelo próprio usuário. Os dicionários costumam ter até cerca de cem mil palavras e conter vocábulos das mais diversas línguas existentes. Esse método faz apenas a comparação da senha do usuário com as palavras do arquivo de dicionário. A outra forma utilizada pelo L0phtCrack para descobrir senhas é conhecido como método de comparação por força bruta. Tal método usa o conjunto de caracteres alfa-numéricos (A-Z; 0-9) e testa todas as combinações possíveis que poderão ser a senha de um determinado usuário. É muito mais lento que o anterior, pois é um método computacionalmente caro em tempo de execução para a geração das combinações dos caracteres. Sua utilização é mais interessante em sistemas computacionais multiprocessadores, devido às suas facilidades de processamento. EventAdmin O EventAdmin é uma ferramenta comercial que gera relatórios de todas as ações executadas na rede através de Event Logs (relatórios de eventos) e faz a análise do conteúdo desses arquivos. No caso da detecção de alguma falha no sistema ou ataque de segurança, o EventAdmin dispara um alarme e reporta ao administrador o que aconteceu no sistema. O aplicativo possui um módulo adicional para gerenciamento e análise de eventos à distância. Este módulo vem com uma interface para Web. Isto é bastante interessante para o administrador, pois ele pode administrar a rede remotamente a partir de qualquer browser. Virtuosity O Virtuosity é mais uma ferramenta comercial, que gerencia usuários, grupos, domínios e permissões de acesso a arquivos e analisa a segurança de uma rede com sistema Windows. O diferencial dessa ferramenta é que ela permite que o administrador trabalhe em nível de linha de comando (prompt), tal como no Linux. Com o modo de linha de comando, o administrador pode criar programas de execução em lote. Isto simplifica e aumenta o desempenho da execução de tarefas. A utilização de interfaces gráficas no gerenciamento de sistemas, normalmente, torna esta atividade mais lenta. NAT O NAT, disponível gratuitamente na Internet, faz remotamente a checagem da segurança, tentando quebrar, por dicionário, senhas de usuários via rede. O NAT (NetBIOS Auditing Tool) tenta ainda acessar serviços não protegidos pelo servidor. No processo de execução da ferramenta, o usuário deve especificar o arquivo do dicionário a ser utilizado e em qual servidor remoto se deseja fazer a análise. Como saída, o programa fornece um relatório das senhas descobertas e dos serviços configurados indevidamente. 54

7 Considerações finais Quando estamos gerenciando uma rede de computadores, precisamos saber que não estamos sozinhos. Enquanto você está lendo este material, talvez algum estudante de Sistemas de Internet, localizado do outro lado do mundo, esteja com más intenções, tentando acessar a sua máquina para roubar informações. Cabe ao administrador da rede não permitir que isto aconteça. É difícil manter sistemas seguros, porque se requer um entendimento da ocasião e do modo como os seus participantes podem confiar um no outro, assim como uma compreensão de detalhes específicos de hardware e software que devem ser observados. Perceba que, a fim de cuidar da segurança desta informação, está surgindo uma nova profissão na área de computação: os detetives de sistemas. Em redes de computadores, um bom analista ou auditor de segurança deve conhecer as técnicas utilizadas por hackers para invadir um sistema, a fim de se prevenir de tais ataques. Para lutar frente a frente neste campo de batalha, o administrador de sistemas deve possuir armas adequadas e saber manuseá-las. Estas armas são as ferramentas para auditoria de segurança. Veja que existe uma grande quantidade de pacotes de software com essa finalidade. A maioria das ferramentas para Linux é de domínio público, enquanto muitas das ferramentas desenvolvidas para Windows são proprietárias. Para finalizar, saiba que segurança de redes é um campo de pesquisa e de atuação bastante promissor, o qual merece atenção especial de usuários, pesquisadores e desenvolvedores no projeto e na construção de ambientes menos vulneráveis e de ferramentas de segurança mais completas e eficientes. Até a próxima! Referências: Abílio Bueno Neto; Davi Solonca. Auditoria de Sistemas Informatizados. 3ª edição. Unisul Virtual, Eleen Frisch. Essential System Administration. 3ª edição. Editora O Reilly, Maurício Rocha Lyra. Segurança e Auditoria em Sistemas de Informação. 1ª edição, < Acesso em: fevereiro de