Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon

Ferramentas GPL para a seguran a de Redes de Computadoresç

Vanderlei Pollon

Email: [email protected]: www.pollon.org

1º Seminário de Software Livre Tchelinux - Edição Erechim - 23 de Junho de 2007

mailto:[email protected]

Ferramentas GPL para a segurança de Redes de Computadores

Para meditação:Eu escrevi estas páginas com intenções honestas. Por favor não abuse deste trabalho. Seja uma pessoa de coração puro.

For meditation:I wrote these pages with honest intentions. Please do not abuse this work.Either a person of pure heart.

Objetivo deste trabalho

Fornecer uma vis o geral das principais ferramentas GPL ã relacionadas seguran a de Redes de Computadores.à ç

Objective of this work

To supply a general vision of main related tools GPL to the security of Computer networks.


O que é GPL? GNU General Public License (Licen a P blica Geral), GNU GPL ou ç úsimplesmente GPL, a designa o da licen a para software livre é çã çidealizada por Richard Stallman no final da d cada de 1980, no émbito do projecto GNU da Free Software Foundation (FSF).â

Em termos gerais, a GPL baseia-se em 4 liberdades: 1. A liberdade de executar o programa, para qualquer prop sito.ó 2. A liberdade de estudar como o programa funciona e adapt -lo ápara as suas necessidades. O acesso ao c digo-fonte um pr -ó é érequisito para esta liberdade. 3. A liberdade de redistribuir c pias de modo que voc possa ó êajudar ao seu pr ximo.ó 4. A liberdade de aperfei oar o programa, e liberar os seus çaperfei oamentos, de modo que toda a comunidade se beneficie çdeles. O acesso ao c digo-fonte um pr -requisito para esta ó é éliberdade.

Acesse http://www.gnu.org/licenses/gpl.html para ver o texto completo.


http://www.gnu.org/licenses/gpl.html

Proxy web: squid


Clientes(Browser)

Proxy – uma máquina com duas placas de rede

Servidor

Algumas possibilidades:

> caching http> logs de acesso> autenticação> bloqueio de URLS

Plataformas:

> BSD> Linux

www.squid-cache.org

Complementos

> sarg> logrotate> squid-auth> apache


Exemplo de relatório gerado pelo sarg (1)


Exemplo de relatório gerado pelo sarg (2)


[root@l002 daily]# ls -l /var/log/squidtotal 12244

-rw-r--r-- 1 proxy proxy 2707272 Feb 25 12:32 access.log-rw-r--r-- 1 proxy proxy 9688997 Feb 23 04:01 access.log.0-rw-r--r-- 1 proxy proxy 35280 Feb 15 04:02 access.log.1-rw-r--r-- 1 proxy proxy 9795 Feb 25 11:41 cache.log-rw-r--r-- 1 proxy proxy 56657 Feb 23 04:23 cache.log.0-rw-r--r-- 1 proxy proxy 7739 Feb 16 04:23 cache.log.1

Exemplo de logs rotacionadas pelo logrotate


Firewall: iptables


> filtro de pacotes na saída> filtro de pacotes na entrada > logs dos pacotes> NAT (todos os tipos)

Plataformas:

> BSD> Linux

http://www.netfilter.org

Complementos

> sarg> logrotate


Algumas regras simples para o iptables:

➔#/sbin/iptables -A INPUT -p tcp –syn -j DROP

➔ #/sbin/iptables -A INPUT -p tcp –syn –destination-port 22 -j ACCEPT #/sbin /iptables -A INPUT -p tcp –syn -j DROP

Todas as portasda máquina, exceto a 22,

estão fechadas.

Todas as portasda máquina

estão fechadas.

Iptables: criando regras pela linha de comando


Firewall Builder: interface gráfica para o iptables

www.fwbuilder.org

Plataformas:

> BSD> Linux> Windows (sygwin + qt)


Firewall Builder: interface gráfica para o iptables


VPN: OpenVPN


> implementação simplificada> suporte a NAT > multiplataforma> transparente aos usuários> tunelamento IP ou em modo bridge

Plataformas:

> Linux> Windows 2000/XP (e mais novos)> OpenBSD> NetBSD> FreeBSD> Mac OS X> Solaris

http://openvpn.net

Complemento

> logrotate* Você pode obter detalhes sobre a configuraçãodo OpenVPN no Linux e no Windows emhttp://pollon.org/download3/pelotas2007/11_OpenVPN.pdf


KVpnc: interface gráfica para o OpenVPN

Outras interfaces:

> OpenVPN-Admin (L,W)> Open VPN GUI (W)> Open VPN-Control (L,W)> Kovpn (L,W)

Kvpnc(linux)


Verificação de integridade: aide

FUNCIONAMENTO

=> selecionar os diretórios que deverão ser protegidos

=> definir as regras de proteção

=> “fotografar” os diretórios que serão protegidos

=> gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot

Software necessário> aide (Advanced Intrusion Detection Environment)

> http://sourceforge.net/projects/aide

Plataformas:

> Linux> AIX > OpenBSD> NetBSD> FreeBSD> Mac OS X> Solaris


Exemplos de assinaturas do AIDE

=>#aide-gera-md5-para-arquivar.sh

MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d

MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8

MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3

MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b

MD5 sum previous sums ......: 5305aafe07abeb55da362460a3ed3997

HashMD5 de 256

bits


Verificando a integridade

#aide -CAIDE found differences between database and filesystem!!Start timestamp: 2006-12-09 14:07:42Summary:Total number of files=9418,added files=0,removed files=0,changed files=2Changed files:changed:/etc/adjtimechanged:/etc/BWOV019.tgzDetailed information about changes:File: /etc/adjtimeMtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA==File: /etc/BWOV019.tgzMtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA==

#aide CAIDE, version 0.10

### All files match AIDE database. Looks okay!

Verificação ok :)

Verificação não ok :(


Varredura de portas (scanner): nmap

Plataformas:> Linux> Windows 95 (e mais novos)> OpenBSD> NetBSD> FreeBSD> Mac OS

Algumas possibilidades:> determinar quais hosts estão disponíveis na rede> determinar quais serviços os hosts da rede estão oferecendo> determinar quais os sistemas operacionais dos hosts> determinar qual o firewall que os hosts estão utilizando> ...

Site oficial -> http://insecure.org


nmap: exemplos de utilização

[root@lx04 tmp]# nmap -O 10.2.176.148

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on (10.2.176.148):(The 1598 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh80/tcp open http3306/tcp open mysqlRemote operating system guess: Linux Kernel 2.4.0 - 2.5.20Uptime 157 days (since Wed Dec 10 16:58:44 2006)

Nmap run completed -- 1 IP address (1 host up) scanned in 9 seconds

Descobrir o sistema

operacional do alvo

O sistema operacional

do alvo

[root@lx04 tmp]# nmap lua.ceu

Interesting ports on lua.ceu (10.25.25.25):Not shown: 1693 filtered portsPORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open https515/tcp open printer

Nmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds

Há um firewallfiltrandoas portas


nmap: a interface gráfica


Scanner para vulnerabilidades e auditoria de redes: nessus


> efetua uma varredura em uma máquina ou em toda uma sub-rede;> relaciona as possíveis falhas de segurança encontradas;> classifica as falhas de segurança encontradas;> informa como as falhas de segurança poderiam ser utilizadas por um atacante;> sugere correções para as vulnerabilidades encontradas;> utiliza plugins (para fácil atualização);> possui uma interface gráfica.

Plataformas (todas 32 bits):

> Linux> FreeBSD> Mac OS X> Solaris> Windows XP/2000/2003

http://www.nessus.org

Licenciamento:

> versões anteriores a 3 (GPL)> versões maiores que 3 comercial (os binários, para uso interno, são gratuitos)







Verificador de senhas fracas: John the ripper

Plataformas suportadas:

> Linux> Windows 95(e mais novos)> NetBSD> OpenBSD> FreeBSD> BeOS > MacOS X


> testar as senhas dos usuários dos servidores> recuperar senhas perdidas

Site oficial -> http://www.openwall.com/john

Dicas de utilização:

> ler os manuais e entender como funciona o arquivo de configuração> fornecer pistas ao john acelera a obtenção dos resultados> a redução do tamanho dos arquivos, reduz o tempo de processamento> existem listas de palavras (dicionários) disponíveis na Internet que podem ser utilizadas como auxílio

Um utilitário do tipo “Brute force” local


John the ripper: formas de utilização no Linux

#john /etc/shadowLoaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32])ovo (ovo)3resu (user3)user22 (user2)1user (user1)guesses: 4 time: 0:00:00:07 8% (2) c/s: 6476 trying: gocougs1guesses: 4 time: 0:00:00:25 33% (2) c/s: 6475 trying: safety6Session aborted

#john - -wordfile=dicionario.lst /etc/shadowLoaded 5 passwords with 5 different salts (FreeBSD MD5 [32/32])mimosa (user4)mimosa (tunia)cachorro (user3)guesses: 3 time: 0:00:00:00 100% c/s: 46.00 trying:


John the ripper: formas de utilização no Windows


Monitor gráfico de rede: EtherApe


> visualizar rapidamente o tráfego entre máquinas> visualizar protocolos não autorizados na rede

monitora graficamente a atividade da rede os hosts e os links mudam de tamanho conforme o tráfico os protocolos são mostrados por cores diferentes possui suporte a Ethernet, FDDI, Token Ring, ISDN, PPP e SLIP suporta filtro em relação aos protocolos a serem mostrados pode fornecer o gráfico com endereços IP, nomes ou MAC


> Linux> NetBSD> OpenBSD> FreeBSD

Site oficial -> http://etherape.sourceforge.net


O EtherApe


O EtherApe


Backup dos servidores da rede: Bacula

Plataformas suportadas para servidorese clientes:> Linux> Solaris> FreeBSD> MacOS X> True64

software de backup multiplataforma modelo cliente/servidor pode fazer backups para fitas e discos fácil de utilizar

Plataformas suportadasapenas para clientes:

> Win98/Me, WinNT/2K/XP> Windows Servers> OpenBSD> Irix

Site oficial -> http://www.bacula.org

Licenças:

> FDL> GPL> LGPL> Public Domain> Trademark ( o nome Bacula)> FSFE License


Bacula – esquema genérico do servidor


Analisador de protocolos de rede: Ethereal

monitora o tráfego de pacotes na rede ferramenta útil no diagnóstico de problemas suporta atualmente mais de 750 protocolos restrito ao domínio de broadcast disponibiliza os resultados através de uma interface gráfica suporta a aplicação de filtros de captura e/ou display pode analisar arquivos gerados por outros capturadores de pacotes

Site oficial -> http://www.ethereal.com


> Win98/Me, WinNT/2K/XP> Windows 2000/2003> OpenBSD> FreeBSD> NetBSD> Linux


A interface do Ethereal


Steganografia: JPHide e JPSeek

permite que arquivos sejam ocultos dentro de imagens

permite que os dados ocultos sejam criptografados (blowfish)

pode ser detectado por ferramentas comerciais de stegoanálise

algumas vezes há incompatibilidade de versões

Site oficial > http://linux01.gwdg.de/~alatham/stego.html


> Linux> Win98/Me, WinNT/2K/XP> Windows 2000/2003

Licença:

> Freeware


Utilizando o JPHide e JPSeek

>#jphide input-jpeg-file output-jpeg-file file-to-be-hidden

>#jpseek input-jpeg-file output-hidden-file

Windows

Linux


IDS (Intrusion Prevention and Detection System): snort

Plataformas:> BSD> Linux> Windows

Complementos:> swatch Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log.

> ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica.

registra em logs as anomalias encontradas no sistema

detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros

Site oficial-> http://www.snort.org


A interface do ACID


Auditoria para redes wireless: Aircrack

suporte aos padrões 802.11(a/b/g)

considerada melhor que o Airsnort

composto por 4 ferramentas: airodump, aireplay, aircrack e airdecap

airodump: utilizado para capturar pacotes 802.11

aireplay: utilizado para injetar pacotes 802.11 (linux)

aircrack: cracker para chaves WEP e WPA-PSK

airdecap: utilizado para decriptar arquivos WEP/WPA

Site oficial > www.aircrackng.org


> Linux> Windows


Aircrack em ação


Outra ferramenta para auditoria para redes: dsniff

coleção de ferramentas para auditoria e testes de penetração

dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy monitoram a rede procurando dados (senhas, e-mail, arquivos,...)

arpspoof, dnsspoof e macof facilitam a interceptação do tráfego da rede onde existem switches.

sshmitm e webmitm implementam ataques “monkey-in-the-middle” contra SSH e sessões HTTPS.

Site oficial > http://www.monkey.org/~dugsong/dsniff/


> Linux> Windows


Funcionamento do Dsniff

# dsniff -i eth1 dsniff: listening on eth1

A interface gráfica

A linha de comando

Esquema de captura


Privacidade no e-mail: spammimic

ferramenta acessível via browser para esteganografia e criptografia de e-mails

não necessita instalação de cliente

a mensagem de e-mail é camuflada para parecer um spam funciona bem para mensagens curtas

Site oficial > https://www.spammimic.com


https://www.spammimic.com (como utilizar)

Encode -> Encode with as password-> digitar a senha e a mensagem ->Encode

https://www.spammimic.com/


https://www.spammimic.com (como utilizar)

Copiar o texto gerado -> colar o texto no corpo do email -> enviar para o destinatário

https://www.spammimic.com/

Perguntas?

Esta apresenta o estar dispon vel em:çã á íwww.tchelinux.orgwww.pollon.org

Obrigado !!!


Technology

Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon