Embed Size (px)
DESCRIPTION
Segurança de Servidores LinuxAutor: Humberto
Citation preview
Segurança em Servidores Linux
Ferramentas de Diagnósticode Segurança
Prof. Humberto CaetanoFaculdade Santo Agostinho
Pós-Graduação em Redes de Computadores
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
2.19
Tripwire
● Uma das ações mais básicas realizadas por um atacante ao obter acesso a um sistema é manter esse acesso.
● A forma mais fácil de manter o acesso é substituir arquivos do sistema, de forma que o administrador não consiga saber que o atacante está no servidor.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
3.19
Tripwire
● Instalando o Tripwire● # apt-get install tripwire
(Aqui será solicitada a criação de uma senha. Esta senha será utilizada para efetuarmos as alterações no sistema)
● Ao final da instalação recebemos a seguinte mensagem:– Os binários do Tripwire estão localizados em /usr/sbin e a
base de dados está localizada em /var/lib/tripwire. É altamente recomendado que estas localizações sejam armazenadas em mídia protegida contra gravações (por exemplo, disquetes montados com acesso somente leitura).
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
4.19
Tripwire
● O Tripwire trabalha com políticas. Elas definem quais diretórios serão adicionados ao controle do Tripwire. Uma política razoavelmente boa, e básica, é protegermos os diretórios /bin, /sbin, /usr/bin, /lib e /etc.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
5.19
Lab 24: Tripwire
● Configurando o Tripwire● Primeiro editamos o arquivo de configuração e
geramos o arquivo de políticas# vim /etc/tripwire/twpol.txt# twadmin --create-polfile /etc/tripwire/twpol.txt Please enter your site passphrase: Wrote policy file: /etc/tripwire/tw.pol
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
6.19
Lab 24: Tripwire
● Configurando o Tripwire● Vamos criptografar o arquivo de configuração
# twadmin --create-cfgfile --cfgfile /etc/tripwire/twcfg.enc --site-keyfile /etc/tripwire/site.key /etc/tripwire/twcfg.txtPlease enter your site passphrase: Wrote configuration file: /etc/tripwire/twcfg.enc
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
7.19
Lab 24: Tripwire
● Configurando o Tripwire● Agora vamos gerar a base de dados.
# tripwire --init --cfgfile /etc/tripwire/twcfg.enc --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --local-keyfile /etc/tripwire/debian-local.keyPlease enter your local passphrase: Parsing policy file: /etc/tripwire/tw.polGenerating the database...*** Processing Unix File System ***Wrote database file: /var/lib/tripwire/debian.twdThe database was successfully generated.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
8.19
Lab 24: Tripwire
● Configurando o Tripwire● Efetuando uma checagem:
– # tripwire --checkParsing policy file: /etc/tripwire/tw.pol*** Processing Unix File System ***Performing integrity check...
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
9.19
Nessus
● Nessus é uma ferramenta para auditoria de segurança. Com ele é possível verificar varias vulnerabilidades em sua rede. O nessus permite que se faça isso de uma forma segura, nao permitindo que usuários não autorizados possam scanear sua rede com ele. Ele é composto por duas partes, sendo um cliente e um servidor.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
10.19
Lab 25: Nessus
● Instalando● http://www.tenable.com/download/● # dpkg -i Nessus-5.0.1-debian6_i386.deb ● # /etc/init.d/nessusd start● Precisamos obter um código de utilização.
http://www.nessus.org/products/nessus/nessus-plugins/obtain-an-activation-code
● Agora acessamos o Nessus via navegador utilizando o endereço https://IP_DO_LINUX:8834
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
11.19
SNORT
● Sistemas de detecção de intrusão (IDS) são ferramentas inteligentes capazes de detectar tentativas de invasão em tempo real.
● O SNORT é uma ferramenta NIDS (o N = Network) open source, com um grande cadastro de assinaturas, leve e capaz de fazer varreduras e verificar anomalias na rede.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
12.19
SNORT● Virtudes do SNORT
● Extremamente Flexível:– Algoritmos de Inspeção baseados em Regras.– Sem falsos positivos inerentes.– Controle Total do refinamento das regras.
● Metodologias de detecção Multi-Dimensional:– Assinaturas (Impressões Digitais) do Ataque.– Anomalias no Protocolo.– Anomalias no Comportamento.
● Imensa Adoção (Comunidade SNORT):– Dezenas de Milhares de Instalações (42 mil).– Algumas das maiores empresas do mundo.(Microsoft, Intel,PWC..)– Milhares de Contribuidores fazendo regras para novas vulnerabilidades.
● Infra-estrutura de Suporte da Comunidade Open Source:– Rápida Respostas às ameaças.– Velocidade de Inovação.– Velocidade de Refinamento.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
13.19
SNORT● Fraquezas do SNORT
● Performance Modesta:– Menos de 30mbps, para redes de até 10Mbps.
● Interface Gráfica Limitada:– Configuração do Sensor.– Gerenciamento de Regras.
● Implementação lenta e cansativa (pelo menos 10 dias).● Capacidade Analítica Limitada.● Sem Suporte Comercial:
– Dependência de pessoas "capacitadas", nem sempre estáveis...– Gastos Significativos com Recursos Humanos.
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
14.19
Lab 26: SNORT
● Instalação● # apt-get install ethtool ● # ethtool -K eth0 gro off● # ethtool -K eth0 lro off● # apt-get install snort
● Durante a instalação o snort vai perguntar qual a rede local: 192.168.0.0/24
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
15.19
Lab 26: SNORT
● Instalação● # vim /etc/snort/snort.conf● (procure pela variável HOME_NET)● ipvar HOME_NET 192.168.0.0/24● (procure pela variável output unified2)● output unified2: filename snort.log, limit 128
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
16.19
Lab 26: SNORT
● Vamos criar algumas regras de teste● # vim /etc/snort/rules/local.rules● alert icmp $EXTERNAL_NET any ->
$HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
● alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002; rev:1;)
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
17.19
Lab 26: SNORT
● Agora podemos testar:● ( Apenas um sniffer de pacotes). CTRL+C para parar.● # snort -i eth0 -v● (Analisando as configurações)● # sudo snort -A console -u snort -g snort -c
/etc/snort/snort.conf -i eth0 -T● (Iniciando o snort no modo “live alert”)● # sudo snort -A console -q -u snort -g snort -c
/etc/snort/snort.conf -i eth0
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
18.19
Lab 26: SNORT● A partir de uma máquina externa faça um
ping em seu Linux. E use o telnet para acessar a porta 80.● # ping IP.IP.IP.IP● # telnet IP.IP.IP.IP 80
2015 Humberto Caetano @FSAPós Graduação em Redes de Computadores
19.19
Lab 26: SNORT● Agora vamos ver os arquivos de log e utilizar
o tcpdump para analisar o tráfego.● # ls -lt /var/log/snort● # cd /var/log/snort● # tcpdump -n -e -r tcpdump.log.[data_captura]
