Forense em Rede com Wireshark.

Documentos relacionados
Perícia Computacional Forense.

Laboratório - Uso do Wireshark para observar o handshake triplo do TCP

Funcionalidade e Protocolos da Camada de Aplicação

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

Laboratório - Uso do Wireshark para visualizar o tráfego de rede

Aula Prática de Redes Industriais Wireshark

Firewall. Prof. Marciano dos Santos Dionizio

Minicurso. Análise de Redes usando Wireshark

Ricardo Kléber M. Galvão. Novatec

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Laboratório - Uso do Wireshark para examinar uma captura UDP DNS

Preparação AV3 Fundamentos de Redes de Computadores

PROCESSO DE SELEÇÃO DE ESTAGIÁRIO EDITAL 100/2017

Testes de Penetração: Explorador de Portas

INFORMÁTICA Professor: Daniel Garcia

Análise e Captura de Tráfego com Wireshark

Redes de Computadores e Internet

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Redes de Computadores

CURSO TÉCNICO EM INFORMÁTICA

Introdução à Computação

Aplicações de Rede DHCP

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Sumário Tratado de Computação Forense

Ferramenta de apoio a Segurança

Firewall - Inspeção com estado. (Stateful Inspection)

Protocolos e Serviços de Redes

Verificador Slimterm TCP-IP

FUNDAMENTOS DE REDES DE COMPUTADORES - CCT0647

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

Protocolos e Serviços de Redes

CURSO: PREPARATÓRIO PARA PM ALAGOAS

Transferência de Arquivo: Protocolo FTP

Eduardo Barasal Morales Tiago Jun Nakamura Maputo, Moçambique 18/07/17-21/07/17

Rede de Computadores Modelo OSI

Prof. Marcelo Cunha Parte 6

Fundamentos de Redes. Introdução ao Endereço IP TCP/IP. Professor Airton Ribeiro de Sousa 2016

INFORMÁTICA. Com o Professor: Rene Maas

Computação Forense, investigação em ambiente computacional

EN3611 Segurança de Redes Prof. João Henrique Kleinschmidt Prática Wireshark Sniffer de rede

Quebra de sigilo nos meios de comunicação. Vanessa Quadros IME

SISTEMA OPERACIONAL WINDOWS PHONE

Etec Prof. Armando José Farinazzo 138

Redes de Computadores LTI

Firewall e tradução de endereço de rede

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 30/360

Uso de Software de Monitoramento em Projetos Educacionais Metasys Monitor. Home

INTERNET. A figura mostra os inúmeros backbones existentes. São cabos de conexão de altíssima largura de banda que unem o planeta em uma rede mundial.

UNIVERSIDADE FEDERAL DO PIAUÍ COLÉGIO TÉCNICO DE TERESINA-TÉCNICO EM INFORMÁTICA DISCIPLINA: REDES DE COMPUTADORES I PROFESSOR: Valdemir Junior

Procedimento Instalação Impressora Servidor de impressão/quota

Redes de Computadores

Redes de Computadores Aula 23

Espionagem de atividade computacional por meio de sniffers e monitores de teclado

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

Redes de Computadores. Laboratório de Interconexão de Redes e Serviços - 4º Período

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

Levantamento de informação (Fingerprint)

Disciplina: Redes de Computadores I (R1)

Análise de Vulnerabilidade de Sistemas Acadêmicos Web

TÓPICOS ESPECIAIS II

QUESTÕES SOBRE GERÊNCIA DE REDES

REDES DE COMPUTADORES

SOLO NETWORK. Guia De Criptografia

Redes de Computadores. Técnico em Informática - Integrado Prof. Bruno C. Vani

CONCEITO DE INTERNET CLOUD COMPUTING WEB CONEXÃO MODEM PROVEDOR BACKBONE NÚMERO IP REDE WIRELESS ENDEREÇO MAC BROWSER HTML URL

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

Laboratório Usando Wireshark para Examinar Quadros Ethernet

Camada de Transporte Protocolos TCP e UDP

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL RV1

Internet Explorer 8.0 Navegador (Browser)

Ferramentas Livres para Monitoramento de Redes

Investigação Digital

Manual Técnico para Parceiros

Requisitos de Infraestrutura. Omnilink (Omnidual e Omniturbo)

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Laboratório Uso do Wireshark para examinar quadros Ethernet

Configurações de firewall gerais no Roteadores RV016, RV042, RV042G e RV082 VPN

TRABALHO PRÁTICO WIRESHARK

Trabalhando com Redes de Computadores Plano de Aula - 24 Aulas (Aulas de 1 Hora)

Projeto Integrador

GUIA RAPIDO DE INSTALAÇÃO D-SAT VINCULAÇÃO D-SAT AO CNPJ DO CONTRIBUINTE

Manual do Aplicativo de Configuração

Redes de Computadores

Perguntas frequentes sobre o uso seguro do Remote Support Platform para SAP Business One (RSP)

Camada de Aplicação da Arquitetura TCP/IP

Transcrição:

Forense em Rede com Wireshark gilberto@sudre.com.br http://gilberto.sudre.com.br

2

Gilberto Sudré» Professor do Instituto Federal de Educação do ES - Ifes» Perito em Computação Forense» Coordenador do Lab. de Segurança da Informação e Computação Forense - LABSEG/Ifes» Instrutor da Academia de Polícia Civil do ES em Computação Forense» Membro do CB21/CE27 da ABNT sobre Segurança da Informação 3

Agenda» Perícia Computacional Forense» Etapas de uma Perícia Digital» Forense Computacional em Redes» Captura de tráfego» Wireshark» Análise de caso 4

Perícia Computacional Forense

Perícia Computacional Forense Perícia Forense aplicada a Tecnologia da Informação é a ciência que visa a proteção, investigação, recuperação, coleta, identificação e análise de evidências aplicadas dentro de um processo legal. Estes procedimentos visam, dentro do possível, determinar o curso das ações executadas pelo Agente, recriando assim, o cenário completo acerca dos fatos ocorridos no mundo digital. Gilberto Sudre 6

Perícia Computacional Forense» Incidente já ocorreu!» Busca descobrir Quem? O quê? Quando? Como? Onde? Por quê? Alcance? 7

Evidência Digital Qualquer tipo de dado digital que possa ajudar a demonstrar que uma fraude ou irregularidade foi cometida, ou que possa estabelecer um vinculo entre a fraude ou irregularidade e a vitima ou entre a vitima e o agente 8

Busca de evidências» Computadores Registros de atividade no sistema Memória / Processos Dispositivos de armazenamento» Dispositivos móveis Ligações, mensagens, fotos, aplicativos» Redes de Computadores 9

Etapas de uma Perícia Digital

Etapas de uma perícia Digital 11

Cadeia de Custódia» Evidências são etiquetadas e lacradas» A etiqueta deve conter o hash da mídia lacrada e informações de data, hora e responsável pela aquisição» A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência» Sempre lacrada ou no cofre de evidências 12

Forense em Redes de Computadores

Forense em Redes» Caso o computador esteja ligado e em rede pode ser necessário fazer uma coleta de tráfego da rede para posterior análise» O monitoramento pode revelar muitas informações importantes como conexões ativas, sites abertos, programas em execução, etc. 14

Forense em Redes» Não é um produto É um processo que envolve conhecimento técnico e uso de ferramentas» Não é uma solução de segurança Como Firewall, IDS ou antivírus» Não envolve somente a captura de tráfego É complementado pela análise de logs e acesso a sistemas e servidores 15

Questões iniciais» Quais equipamentos serão analisados?» Quais sistemas operacionais estão em uso?» Qual a quantidade pode ou precisa ser capturada?» É possível utilizar filtros para acelerar o processo de análise?» Como garantir a integridade dos dados após a captura?» Como garantir a privacidade dos dados que não fazem parte do processo de captura? 16

Tipos de análises» A quente Captura e análise do tráfego em tempo real» Dados capturados O tráfego é armazenado para análise posterior 17

Validação de tráfego» O tráfego deve apontar a autoria e a materialidade da conduta ilícita» Preservação da integridade do tráfego coletado para evitar questionamentos posteriores Utilização do código de hash Exemplos: md5sum, sha2 18

Validação de tráfego» Caso os argumentos legais e técnicos não sejam suficientes para o convencimento de todos o investigado deve ser absolvido» Atenção com as mídias que armazenam as capturas, as técnicas e as ferramentas utilizadas» Capturas incompletas ou truncadas invalidam a evidência 19

Validação de tráfego» Lei de interceptações de Comunicações Telefônicas Lei nº 9.296, de 1996 20

Protocolos» As ferramentas de captura e análise do tráfego não pensam» Cabe ao perito o conhecimento detalhado dos protocolos de rede IPv4 IPv6 TCP UDP HTTP HTTPS RFC RFC RFC RFC RFC RFC 791 3513 793 3828 7230 2818 SMTP POP IMAP DNS FTP RFC RFC RFC RFC RFC 2821 1939 6851 1035 959 21

Localização do IP» Exame do Endereço IP Verificar o provedor responsável pelo IP Verificar a localização geográfica Nem sempre a informação fornecida é precisa http://www.whatsmyip.org/ 22

Localização do IP 23

Exame 24

Exame 25

Captura de Tráfego

Captura de tráfego» Ferramentas: Sniffers» Aplicação em Redes cabeadas e sem fio» Interface Gráfica ou linha de comando» Modos: Modo monitor (RFMON) Modo promíscuo 27

Modos de captura» Monitor Aplicado a Redes sem fio Captura do tráfego sem estar associado a uma rede sem fio Ferramenta: airmon-ng 28

Modos de captura» Modo promíscuo Aplicado a Cabeadas e sem fio Captura do tráfego com a estação associada a uma rede sem fio ou conectada a uma rede cabeada Placa de rede em modo promíscuo Ferramentas: Wireshark tcpdump 29

Modo promíscuo» Redes com Hub 30

Modo promíscuo» Redes com Switch: Limitações 31

Modo promíscuo» Redes com Switch: Limitações Espelhamento de porta 32

Modo promíscuo» Redes com Switch: Limitações Interceptação intermediária 33

Formatos de captura» Texto Plano Arquivo texto convencional» Pcap Formato recomendado Formato padrão reconhecido por praticamente todas as ferramentas de análise de pacotes 34

Formatos de captura» Texto Plano Arquivo texto convencional» Pcap Formato recomendado Formato padrão reconhecido por praticamente todas as ferramentas de análise de pacotes 35

Bibliotecas para captura» Libpcap Linux Escrita em C Código aberto» Ativa o modo promíscuo da interface de rede» Outros ambientes Windows: WinPcap Redes sem fio: AirPcap 36

Bibliotecas para captura» Atenção: Algumas marcas e modelos de interfaces de rede não suportam funcionamento em modo promíscuo 37

Wireshark

Wireshark» Ativa o modo promíscuo da interface de rede» Captura do tráfego Salva os quadros capturados em um arquivo em disco» Análise do tráfego Interpreta o formato dos pacotes permitindo a análise do seu conteúdo» Fork do Ethereal 39

Wireshark» Versões para Windows, Linux e OS X» Utiliza as bibliotecas de captura Libcap ou WinPcap» Site http://www.wireshark.org 40

Instalação» Windows e OS X Download do site Pacote completo Biblioteca WinPcap» Linux Repositório da distribuição 41

Captura em tempo real» Escolha da interface» Informações da interface» Escolha do modo» Iniciar a captura» ATENÇÃO: Para captura o Wireshark deve ser executado com direitos de root (administrador) 42

Captura em tempo real 43

Captura em tempo real 44

Captura em tempo real 45

Salvando as capturas 46

Análise do tráfego» Arquivo já gravado Menu: file» Captura em tempo real Pacotes capturados» Painéis Summary (resumo) Detail (detalhes) Hex (hexa) 47

Abrir arquivo de captura 48

Abrir arquivo de captura 49

Abrir arquivo de captura 50

Código de cores 51

Filtros» Melhora a visualização de um fluxo de tráfego específico» Busca de informações dentro do arquivo de captura» ATENÇÃO: Caso o filtro seja mal configurado ele pode omitir evidências importantes 52

Criação de filtros simples 53

Criação de filtros sofisticados 54

Identificando os fluxos de dados» Exibe todos os fluxos de dados existentes no arquivo de captura 55

Identificando os fluxos de dados 56

Identificando os fluxos de dados 57

Seguindo um fluxo de dados» Exibe os dados trocados entre dois endpoins» Útil para identificar e isolar troca de arquivos ou comandos enviados com suas respectivas respostas 58

Seguindo um fluxo de dados 59

Seguindo um fluxo de dados 60

VoIP» O Wireshark pode identificar e decodificar ligações VoIP que aconteceram durante a captura do tráfego» É possível ouvir o conteúdo da ligação a partir do aplicativo» Exemplo: Captura Ligacao VoIP.pcap http://bit.ly/computacaoforensearquivos 61

VoIP 62

VoIP 63

VoIP 64

VoIP 65

VoIP 66

VoIP 67

Analise de um caso

Análise de um caso» Você recebeu um arquivo de captura resultado da quebra de sigilo de uma comunicação telemática» A captura registrou o momento de um ataque a uma rede» Você foi intimado como perito para responder aos quesitos dos advogados» Analise com as ferramentas que julgar necessárias e responda aos quesitos 69

Análise de um caso» Arquivo Captura Trafego de rede.pcap http://bit.ly/computacaoforensearquivos 70

Análise de um caso» Queira o Sr. Perito responder: Quais sistemas (endereços IP) estão envolvidos? O que você pode identificar do host atacante (Ex: onde ele está localizado)? Quantas sessões TCP estão presentes no arquivo de captura? Quais foram as sessões TCP que estão presentes no arquivo de captura? 71

Análise de um caso» Queira o Sr. Perito responder: Quanto tempo durou a execução do ataque? Qual sistema operacional foi o alvo deste ataque? Você pode relacionar um resumo das ações executadas pelo atacante? Existiu o envolvimento de um malware? Qual é o nome deste Malware? 72

Análise de um caso» Antes de iniciar Duplicação pericial do arquivo cp captura.pcap capturacopia.pcap Comparação dos hashs sha256sum 73

Análise de um caso» Quais sistemas (endereços IP) estão envolvidos? 74

Análise de um caso» Quais sistemas (endereços IP) estão envolvidos? Resposta: Atacante: 98.114.205.102 Vitima: 192.150.11.111 75

Análise de um caso» O que você pode identificar do host atacante (Ex: onde ele está localizado)? 76

Análise de um caso» O que você pode identificar do host atacante (Ex: onde ele está localizado)? Ferramenta: whatsmyip.org 77

Análise de um caso» Quantas sessões TCP estão presentes no arquivo de captura e quais foram elas? 78

Análise de um caso» Quantas sessões TCP estão presentes no arquivo de captura e quais foram elas? 79

Análise de um caso» Quanto tempo durou a execução do ataque? 80

Análise de um caso» Quanto tempo durou a execução do ataque? Resposta: 16.219218 segundos 81

Análise de um caso» Qual sistema operacional foi o alvo deste ataque? 82

Análise de um caso» Qual sistema operacional foi o alvo deste ataque? Resposta: Microsoft Windows 83

Análise de um caso» Você pode relacionar um resumo das ações executadas pelo atacante? DICA: Analisar os fluxos com o wireshark 84

Análise de um caso» Você pode relacionar um resumo das ações executadas pelo atacante? 85

Análise de um caso» Você pode relacionar um resumo das ações executadas pelo atacante? 86

Análise de um caso» Existiu o envolvimento de um malware? Qual é o nome deste Malware? DICA: Analisar os fluxos com o wireshark 87

Análise de um caso 88

Análise de um caso 89

Análise de um caso 90

Análise de um caso 91

Mais Informações

http://gilberto.sudre.com.br 93

http://labseg.ifes.edu.br 94

http://www.securitycast.com.br 95

gilbertosudretecnologia 96

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback