Ferramentas GPL para segurança de redes. Palestrante: Vanderlei Pollon

Transcrição

1 Ferramentas GPL para segurança de redes Palestrante: Vanderlei Pollon 2º Seminário de Software Livre Tchelinux Edição Porto Alegre 01/12/2007

2 Sobre o palestrante Nome: Vanderlei Pollon Graduação: Matemática (UFRGS) Pós-técnico: Redes de Computadores (UFRGS) Especialização 1: Informática e Telemática (UFRGS) Especialização 2: Tecnologias, Gerência e Segurança de Redes (UFRGS) vanderlei@pollon.org Site:

3 Resumo deste trabalho Fazer uma breve análise das principais ferramentas GPL relacionadas a Redes de Computadores Abstract Making a brief analysis of the main tools GPL related to Computer Networks

4 legenda utilizada ferramenta nativa para Linux ferramenta nativa para MAC OS X ferramenta nativa para FreeBSD ferramenta nativa para Windows ferramenta paga é possível o acesso ao código fonte a ferramenta possui interface gráfica pode ser utilizada via linha de comando

5 Verificadores de senhas fracas (cracker) Tenta descobrir senhas utilizando-se de várias técnicas: utilizando força bruta capturando o tráfego da rede fazendo uma verificação do cache utilizando técnicas de criptoanálises Cain e Abel - RainbowCrack -(freeware) John the Ripper -

6 John the ripper Algumas possibilidades: > testar a força dassenhas dos usuários dos servidores da Rede > recuperar senhas perdidas Dicas de utilização: > ler os manuais e entender como funciona o arquivo de configuração > é um utilitário local não serve para utilização remota > fornecer pistas ao john acelera a obtenção dos resultados > a redução do tamanho dos arquivos, reduz o tempo de processamento > existem listas de palavras (dicionários) disponíveis na Internet que podem ser utilizadas como auxílio

7 John the ripper: formas de utilização no Linux #john /etc/shadow Loaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32]) ovo (ovo) 3resu (user3) user22 (user2) 1user (user1) guesses: 4 time: 0:00:00:07 8% (2) c/s: 6476 trying: gocougs1 guesses: 4 time: 0:00:00:25 33% (2) c/s: 6475 trying: safety6 Session aborted #john wordfile=dicionario.lst /etc/shadow Loaded 5 passwords with 5 different salts (FreeBSD MD5 [32/32]) mimosa (user4) mimosa (tunia) cachorro (user3) guesses: 3 time: 0:00:00:00 100% c/s: trying:

8 John the ripper: formas de utilização no Windows

9 Varredores de portas (scanners) THC amap - (freeware) Superscan(freeware) nmap -

10 o nmap Algumas possibilidades: > determinar quais hosts estão disponíveis na rede > determinar quais serviços os hosts da rede estão oferecendo > determinar quais os sistemas operacionais dos hosts > determinar qual o firewall que os hosts estão utilizando > descobrir (mapear) a rede >...

11 nmap: exemplos de utilização tmp]# nmap O Starting nmap V ( ) Interesting ports on ( ): (The 1598 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 3306/tcp open mysql Remote operating system guess: Linux Kernel Uptime 157 days (since Wed Dec 10 16:58: ) Nmap run completed 1 IP address (1 host up) scanned in 9 seconds [root@lx04 tmp]# nmap lua.ceu Interesting ports on lua.ceu ( ): Not shown: 1693 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https 515/tcp open printer Nmap finished: 1 IP address (1 host up) scanned in seconds Descobrir o sistema operacional do alvo O sistema operacional do alvo Há um firewall filtrando as portas

12 nmap: a interface gráfica O comando que é executado pela interface gráfica.

13 Detectores de vulnerabilidades (scanners) Scanners de rede: analisam um host ou uma rede em busca de vulnerabilidades que possam ser exproradas por um atacante; relacionam as possíveis falhas de segurança encontradas; classifica as falhas de segurança encontradas; informam como as falhas de segurança poderiam ser utilizadas por um atacante; sugerem correções para as vulnerabilidades encontradas; utilizam plugins (para fácil atualização); geralmente possuem interfaces gráficas. Lado bom: utilizados pelo Administrador para fazer uma auditoria na Rede. Lado mau: utilizados por atacantes para a invasão de servidores.

14 Pricipais scanners de vulnerabilidades Sara (derivado do SATAN) arc.com/sara/ Retina Nessus Licenciamento, plataformas e interface do nessus: versões anteriores a 3 GPL versão 3 comercial (os binários, para uso interno, são gratuitos)

15 A interface do nessus

16 A interface do nessus

17 Exemplo de gráfico fornecido pelo Nessus

18 Exemplo de gráfico fornecido pelo Nessus

19 Exploradores de vulnerabilidades (exploits) Exploram vulnerabilidades dos Servidores de Rede. Um exploit pode dar a um atacante privilégio de superusuário. Canvas - Core Impact - Metasploit Framework -

20 Capturadores de pacotes (sniffers) Um sniffer é uma ferramenta que captura todos os pacotes que passam pela placa de rede. A maioria dos sniffers captura apenas os pacotes de seu domínio de colisão (bons para redes que usam HUBs). Sniffers mais sofisticados conseguem capturar os dados de máquinas conectadas a switches (cada porta é um domínio de colisão). Alguns switches permitem a utilização de mirror de porta. 4 domínios de colisão

21 Principais sniffers Tcpdump - A versão para o windows chama-se Windump. Kismet - Wireshark - monitora o tráfego de pacotes na rede ferramenta útil no diagnóstico de problemas suporta atualmente mais de 750 protocolos restrito ao domínio de colisão disponibiliza os resultados através de uma interface gráfica suporta a aplicação de filtros de captura e/ou display pode analisar arquivos gerados por outros capturadores de pacotes

22 A interface do Wireshark

23 Sistemas de detecção de intrusos: IDS Host intrusion detection system Network intrusion detection system

24 Principais IDSs Fragroute/Fragrouter Licença BSD OSSEC - SNORT - Quem paga tem acesso às novas regras 5 dias antes da comunidade.

25 Snort registra em logs as anomalias encontradas no sistema detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros Complementos: > swatch Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log. > ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica.

26 ACID: a interface do Snort

27 Analisadores de vulnerabilidades de web servers Analisam servidores de páginas http e apontam as vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na verdade, scanners especializados em descobrir falhas de segurança em servidores web. Geralmente utilizam os protocolos http e https e podem fazer scanners furtivos (para evitar a detecção por IDSs). WebScarab Paros proxy Nikto c

28 A interface do Nikto

29 Detectores de rootkits Verificam se há rootkits * instalados no servidor. chkrootkit - RKHunter AIDE * Rootkits é um conjunto de programas (kit) que tem como objetivo conseguir obter o acesso como superusuário (root) ao sistema.

30 O funcionamento do AIDE Procedimentos iniciais: => selecionar os diretórios que deverão ser protegidos => definir as regras de proteção => fotografar os diretórios que serão protegidos => gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot

31 Exemplos de assinaturas do AIDE =>#aide-gera-md5-para-arquivar.sh MD5 sum of /etc/aide.conf..: d68a8e95274ff866d2deb6980efea96d MD5 sum of /usr/bin/aide...: d4317d10928c9a0b71f2e052c320d5a8 MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3 MD5 sum of boot sector...: bf619eac0cdf3f68d496ea e8b MD5 sum previous sums...: 5305aafe07abeb55da362460a3ed3997 Hash MD5 de 256 bits

32 Verificando a integridade #aide C AIDE, version 0.10 Verificação ok :) ### All files match AIDE database. Looks okay! Verificação #aide -C AIDE found differences between database and filesystem!! não ok :( Start timestamp: :07:42 Summary: Total number of files=9418,added files=0,removed files=0,changed files=2 Changed files: changed:/etc/adjtime changed:/etc/bwov019.tgz Detailed information about changes: File: /etc/adjtime Mtime: old = :23:45, new = :10:19 Ctime: old = :23:45, new = :10:19 MD5: old = ajzart+pdakkrp3fdr9ivg==, new = s1xusitvawyautfm50cfia== File: /etc/bwov019.tgz Mtime: old = :47:26, new = :49:51 Ctime: old = :47:26, new = :49:51 MD5: old = g4/h2gjhhpoabvzjcvvs+a==, new = lv5adkztxr2dpejau/ztja==

33 Monitores do tráfego da rede => mostram quais os protocolos que trafegam na rede; => mostram a porcentagem de tráfego de protocolo; cada => possibilitam a análise de um único endereço ou a análise de toda uma sub-rede; => geram relatórios/gráficos; => podem utilizar dados capturados por sniffers;

34 Os melhores monitores para o tráfego da rede. Ngrep EtherApe c Ntop c

35 Análise visual fornecida pelo etherape dominio dominio dominio dominio dominio

36 Exemplo de relatório fornecido pelo ntop Maquina 001 Maquina 002 Maquina 003 Maquina 004 Maquina 005 Maquina 006 Maquina 007 Maquina 008 Maquina 009 Maquina 010 Maquina 011 Maquina 012 Maquina 013 Maquina 014 Maquina 015 Maquina 016

37 Exemplo de relatório fornecido pelo ntop

38 Conclusões Não existe nenhuma ferramenta completa (ou definitiva) relacionada à Segurança das redes de Computadores. A Segurança dos dados de uma Empresa é uma questão cultural, ou seja, envolve todos os funcionários. Um Administrador experiente e que conheça o negócio da Empresa é uma figura essencial no processo de segurança.

39 Referências csrc.nist.gov/tools/tools.htm s-t-d.org/tools.html

40 Dúvidas? Esta apresentação estará disponível em: Obrigado!!!