Trabalho realizado no âmbito da disciplina de Comunicação de Dados Por: José Gonçalves, n.º 7830 Nuno Oliveira, n.º 7836 Paulo Lopes, n.

Transcrição

1 Maio de 2013 Trabalho realizado no âmbito da disciplina de Comunicação de Dados Por: José Gonçalves, n.º 7830 Nuno Oliveira, n.º 7836 Paulo Lopes, n.º 6510

2

3 3 I. INTRODUÇAO... 5 II. HISTÓRIA... 5 III. FUNCIONAMENTO... 6 IV. Índice TCP SCAN... 6 SYN SCAN... 6 ACK SCAN... 7 FIN SCAN / XMAS SCAN / NULL SCAN... 7 IDLE SCAN... 7 UTILIZAÇÃO... 8 V. EXEMPLO DE APLICAÇÃO ) TCP ) UDP... 8 VI. CONCLUSÃO VII. BIBLIOGRAFIA... 13

4 4 Índice de Figuras Figura 1 - Modelo do cabeçalho de pacote TCP onde está presente o número de sequencia do pacote... 6 Figura 2 - Esquema representativo do tipo de resposta... 6 Figura 3 - Modelo do cabeçalho do pacote UDP... 6 Figura 4 - Esquema de atuação sobre o protocolo UDP... 6 Figura 5 - Esquema representativo do funcionamento do scanner SYN... 7 Figura 6 - Esquema de funcionamento do scanner ACK... 7 Figura 7 - Esquema representativo do modo de resposta para Linux... 7 Figura 8 - esquema representativo do modo de scanner IDLE... 8 Figura 9 - Regular scan... 9 Figura 10 - Obtenção dos serviços nas portas Figura 11 - Porta 80 ( ) Figura 12 - Determinação do SO Figura 13 - Host Details Figura 14 - Scan de URL (ipca.pt) Figura 15 - Output de resultados do scan intensivo à rede IPCA Figura 16 - Informação relativa às portas analisadas (21 e 80)... 12

5 5 Nmap Network Mapper J. Gonçalves, N. Oliveira e P. Lopes Resumo: O Nmap ("Network Mapper" ou Mapeador de Redes ) é um utilitário de segurança livre e de código aberto utilizado na descoberta de redes e em auditorias de segurança. Muitos administradores de sistemas e de redes também o utilizam para realizar tarefas como inventário de rede, gerenciamento de atualizações de serviço e monitorização de hosts. O Nmap utiliza pacotes IP de forma inovadora para determinar quais os hosts que estão disponíveis na rede, quais serviços (nome da aplicação e versão) que os anfitriões oferecem, quais os sistemas operativos de cada máquina, qual o tipo de filtros de pacotes (firewall) que estão em uso, entre outras características. Foi projectado para mapear rapidamente redes de grande dimensão, mas funciona igualmente bem para equipamentos individuais. O Nmap corre em todos os principais sistemas operativos e estão disponíveis pacotes binários oficiais para Linux, Windows e Mac OS. Além do clássico Nmap executável em linha de comandos, o Nmap inclui uma interface gráfica avançada, o Zenmap. A título de curiosidade, podemos referir que o Nmap já foi nomeado "Produto de Segurança do Ano" pelo Linux Journal, Info World, LinuxQuestions.Org e Codetalker Digest e foi ainda utilizado em cenas de doze filmes, incluindo The Matrix Reloaded, Die Hard 4, The Girl with the Dragon Tattoo e The Bourne Ultimatum. Palavras-chave: Nmap, Segurança, Rede, Open Port, TCP V I. INTRODUÇAO ivem-se tempos instáveis. A utilização do computador está massificada. A utilização de dados externos ao próprio computador também. As redes wireless e não só estão a dominar as comunicações. Os computadores estão constantemente sobre ameaça externa. A maioria dos utilizadores apenas conhece o computador ao nível da sua utilização básica para desempenho das suas funções no trabalho ou em termos sociais. Cada vez que aparecem janelas, muitos dos utilizadores clicam num dos botões que aparecem na janela sem sequer ler o que lá está escrito. Se por acaso um desses botões é para abertura de uma via de acesso ao computador está-se a expor ao mundo virtual. O Nmap pode fazer a diferença e ajudar quem quer ser protegido ou quem quer entrar numa máquina que não se protegeu. Uma ferramenta destas é cada vez mais importante não só em grandes redes empresariais para proteção de dados onde as bases de dados são a riqueza mais importante ou até mesmo a rede doméstica de onde um simples utilizador acede e movimenta as suas contas bancárias, compra ou vende ações ou até mesmo joga no euromilhões. II. HISTÓRIA O Nmap foi lançado pela primeira vez na revista Phrack Edição 51, em 1 de Setembro de 1997 onde também foi disponibilizado o seu código-fonte. Foi criado por Gordon Lyon também conhecido pelo pseudónimo Fyodor Vaskovich, programador e especialista em segurança de rede. Novas versões não se encontravam planeadas, mas com a ajuda e contribuição da comunidade especializada em segurança de computadores, o seu desenvolvimento foi possível a um ritmo cada vez maior e continuo. A sua primeira versão é de cerca de 2000 linhas, e a compilação era tão simples que bastava usar uma linha de código para o fazer gcc-o6-o nmap nmap.c-lm. Pouco tempo depois de ser lançado, é disponibilizada uma versão com ligeiras melhorias do código Phrack, esta versão ficou conhecida como a versão De Março de 1998, Renaud Deraison, solicita se pode utilizar fragmentos do código fonte Nmap, para uma ferramenta de scanner de segurança. Dias depois é disponibilizada uma versão de pré-lançamento do programa Nessus. 12 de Dezembro de 1998, o Nmap conhece a sua versão 2.00, onde é introduzida a detecção OS Nmap. 11 de Abril de 1999 é disponibilizada a versão Esta é primeira versão disponível com interface gráfico. Até então, só existia uma versão para o sistema operativo Linux, a 7 de Dezembro de 2000, é lançado uma versão capaz de compilar e executar no Microsoft Windows. Projecto realizado pelo Ryan Permeh e Andy Lutomirski. Em 28 de Agosto de 2002 Nmap é convertido de C para C++, onde também é acrescentado suporte para o então recémlançado IPV6. Setembro de 2003 versão 3.45 é disponibilizado, Serviço de detecção Nmap é lançado. 31 de Agosto de 2004, O scanner do Nmap é reescrito para Nmap O novo scanner é chamado de ultra_scan

6 6 apresentando melhoramento nos algoritmos. 24 de Junho de 2006, após dois anos de desenvolvimento e testes, o sistema de detecção de SO 2ª geração está integrado na Versão Nmap Em 30 de Março de 2009, é lançado uma versão especial Nmap 4.85, esta versão foi criada especialmente para detectar remotamente o worm conficker, que já afectou milhões de máquinas na internet. Este processo de scanner utiliza o three-way-handshake para testar as portas e verificar se estas estão abertas ou fechadas. Sempre que existe por parte de um host (emissor) o envio de um pacote de dados para outro host (receptor) é esperada uma resposta por parte do receptor SYN-ACK sobre a porta alvo para o emissor. Se a porta estiver aberta, o emissor completará o handshake com um ACK. Caso contrário, se a porta estiver filtrada por firewall ou fechada será devolvido um pacote RESET. Em 21 de Maio de 2012 é lançada a versão com o suporte IPV6 completo. III. FUNCIONAMENTO O NMAP monitoriza redes usando pacotes de IP brutos de forma inovadora para determinar todas as componentes da rede, ao nível de hosts presentes, os respectivos sistemas operativos, tipos de filtros como firewalls, portas abertas que permitam vulnerabilidades, etc. Embora a sua construção inicial tenha sido direcionada para grandes redes, também é um excelente mapeador de uma pequena rede comercial ou até doméstica. O Nmap, como ferramenta potente Prefácio que é, possui várias XLIII formas rastrear uma rede e assim obter vários resultados. Figura PortScanner 1. Cabeçalho de é IPv4 o principal método utilizado pelo Nmap. Através deste processo é possível determinar quais as portas e serviços que podem estar disponíveis numa determinada rede ou host. As ligações entre hosts são estabelecidas mediante a troca de pacotes. Ao envio de um pacote corresponderá o retorno de uma resposta. Este processo de envio e recepção de resposta vai ser importante para a recolha de pacotes brutos de informação e assim poder recolher dados importantes para recolha de dados sobre a rede. TCP SCAN As ligações TCP são estabelecidas mediante a troca de pacotes que, para sequenciação (reorganização se necessário no host receptor) utilizam uma numeração que é incrementada à medida que os pacotes vão sendo trocados handshake. Figura 2. Cabeçalho de TCP Figura 2 - Esquema representativo do tipo de resposta Este modo de scanner é eficaz quando existem mecanismos de defesa que possam impedir outro tipo de scanners. UDP SCAN Serve para identificar portas UDP. No entanto por não ser um XLIV protocolo onde Nmap não - há Mapeador controlo, de Redes não há forma de saber se a resposta é válida. Figura 3. Cabeçalho de UDP Figura 3 - Modelo do cabeçalho do pacote UDP A resposta padrão para uma porta fechada é ICM port unreachable Figura 4. Cabeçalho e de quando ICMP a porta se encontra aberta não é recebida resposta. Figura 4 - Esquema de atuação sobre o protocolo UDP Figura 1 - Modelo do cabeçalho de pacote TCP onde está presente o número de sequencia do pacote Este tipo de scan é o mais confiável em relação à resposta obtida mas também é um dos mais barulhentos e por isso é facilmente detetável por IDS (Intrusion Detection). A grande desvantagem deste tipo de scanner é que não é possível obter informações acerca do programa que estiver a funcionar com a porta que foi alvo do scanner. SYN SCAN Várias nomenclaturas podem servir para identificar este tipo

7 7 de scanner. A principal diferença em relação ao TCP é que este não chega a completar o handshake porque finaliza a conexão antes de isso acontecer. Deste modo o processo de scanner é muito silencioso (stealth sorrateiro). Neste processo é enviado um SYN ao host. Se a porta estiver aberta ele recebe um SYN/ACK mas ao contrário do TCP não é completa com ACK mas antes com um RST que é enviado finalizando a conexão antes mesmo de ser totalmente estabelecida. resposta. Dependendo do tipo de sistema operativo assim irá ocorrer um tipo de resposta diferente. No caso do Windows irá responder a todos estes tipos de comunicações com RST independentemente das portas estarem abertas ou fechadas. No caso do Linux a resposta vai variar dependendo se a porta se encontra aberta, que não responde ou fechada com RST. Figura 5 - Esquema representativo do funcionamento do scanner SYN Este scanner é interessante em situações nas quais não se pretenda chamar à atenção de sistemas de DSI ACK SCAN Este tipo de scanner não utiliza a comunicação de handshake normal. Ao contrário de enviar uma mensagem de início de comunicação SYN, é enviado apenas a flag ACK. Se o emissor receber como resposta um RST é porque a porta não está filtrada. Deste modo consegue-se determinar se a porta se encontra ou não aberta, sem nunca sequer se tentar estabelecer comunicação. Figura 6 - Esquema de funcionamento do scanner ACK Este scanner é especialmente utilizado para verificar a existência ou não de filtros entre o host emissor e o alvo. Os firewall, caso existam bloqueavam, desde logo, uma conexão deste tipo pois não é possível receber um ACK sem antes se ter iniciado a conexão. Figura 7 - Esquema representativo do modo de resposta para Linux Este tipo de scanner permite identificar o tipo de Sistema Operativo que se encontra no host alvo. Permite ainda contornar a firewall que possa existir na rede e que impeça as conexões por handshake. IDLE SCAN Este tipo de scan utiliza o spoofing (márcara). Para o host de destino do scanner quem vai estar a tentar conectar-se será o endereço IP de um outro host que é conhecido do host alvo. Para o sucesso deste tipo de scanner é importante que neste tipo de scanner o estado do host que é utilizado de máscara que deva estar parado e tenha fornecido ao Nmap os valores de IPID (IP identification) para utilizar como máscara. O processo inicia-se com o envio de flags SYN/ACK ao host que irá servir de camuflagem de forma a induzir deste uma resposta RST de retorno. Com este RST o Nmap obtém o IPID necessário para ser utilizado no processo de scan. Seguidamente, o Nmap envia o pacote de dados para o host alvo SYN com o endereço IP que adquiriu a partir do RST recebido do host que serve de máscara. Se a porta de destino estiver aberta, o host alvo irá enviar uma resposta SYN-ACK para o host que serviu de máscara. No entanto como este host que serviu de máscara não iniciou conexão irá remeter uma resposta RST incrementando o IPID. No último passo do processo, o Nmap envia um novo SYN- ACK para o host que serviu de máscara. Se o IPID respondido for igual ao IPID inicialmente incrementado sabe-se que a porta está aberta, caso contrário se não incrementado é porque a porta se encontra fechada. FIN SCAN / XMAS SCAN / NULL SCAN Estes tipos de scanner não utilizam a comunicação padrão para estabelecer a conexão. Todos eles utilizam o envio de um único pacote específico e esperam somente uma única

8 8 ser efectuados com elevada precaução. O Nmap é uma ferramenta de exploração de redes que permite, entre outras funcionalidades, três grandes objectivos: Descoberta de hosts activos na rede ( live hosts ). Determinar o Sistema Operativo. Detectar open ports e consequentes vulnerabilidades. O Nmap utiliza-se através de linhas de comando estruturadas da seguinte forma: nmap [Tipo(s) de Scan] [Opções] [Alvo] Para guardar os resultados em ficheiro, basta colocar no final da linha de comando o sinal > e nome do ficheiro. Figura 8 - esquema representativo do modo de scanner IDLE IV. UTILIZAÇÃO Este tipo de sistema foi inicialmente desenvolvido para redes de grandes dimensões mas verificou-se que é também possível utilizar-se em redes de pequena dimensão como uma rede doméstica. A sua utilização é diversificada. Pode ser utilizado para combater as possíveis vulnerabilidades de uma rede e assim diminuir a possibilidade de ataques evasivos de hackers, por exemplo, ou ser mesmo utilizado para aceder indevidamente a portas indevidamente abertas nos hosts de uma rede. V. EXEMPLO DE APLICAÇÃO Esta secção irá abordar os conceitos básicos de análise de rede com Nmap. Em primeiro lugar é importante entender os seguintes conceitos: Firewalls, routers, servidores proxy e outros dispositivos de segurança podem distorcer os resultados de um scan com Nmap. Por essa razão, o scan de hosts remotos, que não fazem parte da rede local, pode fornecer informações enganosas. Algumas opções de scan exigem privilégios elevados. Em sistemas Unix e Linux poderá ser necessário fazer o login como utilizador root ou executar o Nmap utilizando o comando sudo. O scan de redes sem permissão, poderá levantar problemas com o provedor de serviço de internet bem como com a justiça. O scan agressivo de alguns sistemas pode levá-los a falhar, originando grandes prejuízos, essencialmente devidos à inactividade do sistema e à perda de dados. Por este motivo, os scans a sistemas críticos deverão nmap [Tipo(s) de Scan] [Opções] [Alvo] > ficheiro.txt O alvo pode ser o nome do host, um endereço IP, uma rede inteira (por exemplo /24), etc. Em alternativa, existe uma versão com interface gráfico, o Zenmap, que apresenta os resultados de uma forma mais apelativa e perceptível mas, apesar disso, aplica exactamente os mesmos comandos. Portas de Rede 1) TCP Protocolo baseado na conexão. Requer uma conexão formal (aperto de mão triplo ou three way handshake - Syn, Syn Ack e Ack). 2) UDP Protocolo que não requer uma conexão formal. Como futuros analistas do sistema de segurança de uma rede, é importante conhecer algumas das portas mais comuns: Porta Protocolo Função 21 TCP FTP 22 TCP/UDP SSH ou SFTP TCP/UDP TCP/UDP TCP SMTP DNS HTTP 110 TCP POP3 161/162 UDP SNMP 443 TCP HTTPS 3306 TCP/UDP MySQL TCP TCP Nmap - Scans mais comuns PostgreSQL HTTP Alternativo

9 9 -O Detecta o sistema operativo. Trata-se de uma operação bastante ruidosa, logo, facilmente detectável. -V Detecta a versão do programa ou serviço que está a correr. -sp Ping sweep (ICMP, TCP SYN, TCP ACK, etc.) -Pn Avança a descoberta de hosts e o Ping sweep (assume que o host está online). É útil para redes internas. -sa ACK scan. -st TCP scan. Trata-se de um scan bastante ruidoso e demorado pois faz o aperto de mão triplo SYN, SYN ACK e ACK. Apesar disso, é um scan de enorme confiança. -ss SYN scan silencioso. Efectua um aperto de mão triplo TCP parcial e é bastante rápido. É um dos scans mais utilizados. -su Scan UDP. É um scan muito demorado mas necessário para detectar por exemplo portas SNMP. Linux Ubunto e uma terceira a correr o Windows Server 2008 R2. O primeiro passo será obviamente descobrir qual o alvo a analisar, isto é, quais os IP s das máquinas da nossa rede. Para tal basta fazer uso do comando ifconfig, no caso das máquinas Linux, e ipconfig para a máquina Windows. Os resultados são os seguintes: 1) Linux Ubunto: ) Back Track 5 R3: ) Windows Server 2008 R2: Para exemplificar algumas das funcionalidades do Nmap iremos utilizar o interface gráfico do Nmap, denominado por Zenmap, de forma a facilitar a visualização dos resultados. De referir, no entanto, que os mesmos resultados serão obtidos se digitarmos na consola os comandos gerados pelo interface. Esta é, aliás, a prática mais comum, na medida em que normalmente são utilizados sistemas desenvolvidos especificamente para este tipo de análises, como é o caso do Back Track 5. Podemos começar por um scan por defeito ( regular scan) que nos permite verificar rapidamente quais as portas abertas em cada uma das máquinas, quais os serviços que correm nessas portas (http, ftp, pop, etc), o MAC Address de cada um dos hosts bem como o seu estado ( up ou down ): nmap sp -PP Permite enganar firewalls que bloqueiam os pacotes ICMP standard. Permite igualmente contornar alguns IDS/IPS (Sistemas de detecção e prevenção de intrusões). Scans dissimulados -T(0-5) Estabelece um tempo para o scan. Quanto mais lento, melhor: 0 - Paranoid 1 - Sneaky 2 - Polite 3 - Normal 4 - Aggressive 5 - Insane -f Permite contornar os IDS/IPS através da fragmentação dos pacotes. Para o presente exercício académico, utilizamos como exemplo uma rede composta por três máquinas virtuais sobre a qual iremos efectuar alguns dos scans mais comuns e verificar os resultados. Assim sendo, dispomos de uma máquina com o sistema Back Track 5 R3, uma máquina com o sistema Figura 9 - Regular scan Pela imagem anterior podemos verificar que tanto a máquina com Linux Ubunto ( ) como o Windows Server ( ) possuem portas abertas. Já o sistema Back

10 10 Track 5, por se tratar de um sistema especificamente desenvolvido para intrusão e análise, muito utilizado tanto por hackers como por analistas, não apresenta nenhuma porta aberta. Não é por acaso que a frase representativa deste sistema é The quieter you become, the more you are able to hear, que significa que quanto mais silenciosos formos, estaremos mais aptos a ouvir melhor. Podemos igualmente saber quais os serviços a correr em cada uma das portas abertas. Para a máquina Ubunto por exemplo, obtivemos o seguinte resultado: nmap -sv Figura 11 - Porta 80 ( ) Figura 10 - Obtenção dos serviços nas portas Pela imagem anterior podemos verificar que na porta 80/tcp (http) do host analisado ( ) está a correr um servidor web, no caso o Nginx. Podemos então verificar através de um browser o conteúdo divulgado ao público através desse servidor web: De acordo com alguns especialistas, podemos considerar um sistema seguro se este tiver até um valor máximo aproximado de 9 portas abertas, dependendo obviamente do tipo de portas. Numa rede de grandes dimensões, com diversos departamentos, é bastante comum encontrar um servidor de um ou outro departamento sem qualquer filtro. Se pensarmos, por exemplo num servidor FTP desprotegido com informação pertinente acerca da empresa ou corporação, facilmente compreendemos a importância do Nmap para antecipar eventuais intrusões e corrigir ou, em última instância, fechar as máquinas vulneráveis. Outra das possibilidades do Nmap é a detecção do Sistema Operativo que corre no alvo analisado. Contudo, neste campo em particular, é importante referir que se trata apenas de um processo comparativo entre as denominadas fingerprints de cada SO e a base de dados nativa. Este processo nem sempre devolve um resultado fiável. Por exemplo para a máquina que está a correr o Windows Server ( ) vamos efectuar um scan que nos permita obter informação relativa ao Sistema Operativo do host.

11 11 nmap -O Figura 12 - Determinação do SO Figura 13 - Host Details Podemos verificar que, neste caso, os resultados obtidos foram os esperados. O Nmap detectou um SO da família Microsoft Windows Vista Phone. Se abrirmos o separador Host Details verificamos que o Nmap determinou, com 100% de certeza, que se trata de uma máquina Microsoft Windows Server 2008 Beta 3. Este exemplo é apenas uma simples demonstração das capacidades básicas deste popular mapeador de redes numa pequena rede interna. Contudo ele poderá igualmente ser utilizado para realizar scans de redes externas ou endereços externos. Podemos por exemplo fazer um scan a um URL específico: nmap ipca.pt Figura 14 - Scan de URL (ipca.pt)

12 12 Podemos ainda, através do comando whois, facilmente determinar o range de IP s do IPCA, por exemplo, e procurar se existem eventuais vulnerabilidades na rede. whois ipca.pt Figura 15 - Output de resultados do scan intensivo à rede IPCA Para cada um dos 256 hosts da rede, a informação obtida foi a mesma, porta 80 aberta e a porta 21 filtrada. whois -h whois.arin.net A partir do comando anterior determinamos então a rede a pesquisar: /24 A partir daqui podemos então proceder ao scan da rede e verificar se existem vulnerabilidades. O scan utilizado foi um scan dissimulado (-T4), agressivo (-A) e, para simplificar o processo, pesquisa apenas as portas 80 e 21 (http e ftp, respectivamente). nmap -p80,21 -T4 -A -v /24 Após este scan, bastante mais demorado que os anteriores, obtemos os resultados esperados. Foram analisados todos os 256 hosts da rede e são apresentadas as respectivas portas http (80) abertas às quais correspondem as diferentes páginas do IPCA e as portas 21 (FTP) estão todas filtradas, logo inacessíveis como era suposto. Figura 16 - Informação relativa às portas analisadas (21 e 80) VI. CONCLUSÃO Este software faz de certo modo lembrar as janelas e as portas de uma casa que se têm de verificar a se estão ou não fechadas antes de se sair de casa pois os amigos do alheio andam por todo o lado. No entanto, tal como as fechaduras, que são importantes para verificar se as portas e janelas estão fechadas, também são importantes para quem as souber abrir assaltar uma casa. O Nmap apresenta soluções que permitem evitar este tipo de situações. Pode-se concluir que, embora seja uma ferramenta open source, as suas potencialidades e capacidades quer para atuação de forma positiva e benéfica, como para utilização malévola são extraordinariamente significativas. De um modo geral, a utilização desta ferramenta proporciona uma análise criteriosa da rede em causa de forma a verificar se esta se encontra, ou não, segura ou vulnerável, ou seja, se não existem brechas (portas desnecessariamente abertas) no sistema susceptíveis a ataque alheios.

13 13 VII. BIBLIOGRAFIA Nmap - Free Security Scanner For Network Exploration & Security Audits [nmap.org] Nmap Cookbook / The fat-free guide to network scanning / Nicholas Marsh / 2010 [ Nmap Network Scanning / Official guide to the Nmap Security Scanner / Gordon Fyodor Lyon / 2008 [