Ferramentas GPL para segurança de redes - Vanderlei Pollon

Ferramentas GPL para segurança Ferramentas GPL para segurança de redesde redes

www.tchelinux.orgPalestrante: Vanderlei Pollon

2º Seminário de Software Livre Tchelinux Edição Porto Alegre 01/12/2007

http://www.tchelinux.org/

www.tchelinux.orgwww.tchelinux.org

Sobre o palestrante

● Nome: Vanderlei Pollon

● Graduação: Matemática (UFRGS)

● Pós-técnico: Redes de Computadores (UFRGS)

● Especialização 1: Informática e Telemática (UFRGS)

● Especialização 2: Tecnologias, Gerência e Segurança de Redes (UFRGS)

● Email: [email protected]

● Site: www.pollon.org


Resumo deste trabalho● Fazer uma breve análise das principais

ferramentas GPL relacionadas a Redes de Computadores

● Abstract

Making a brief analysis of the main tools GPL related to Computer Networks


legenda utilizada

ferramenta nativa para Linux

ferramenta nativa para MAC OS X

ferramenta nativa para FreeBSD

ferramenta nativa para Windows

ferramenta paga

é possível o acesso ao código fonte

a ferramenta possui interface gráfica

pode ser utilizada via linha de comando


Verificadores de senhas fracas (cracker)● Tenta descobrir senhas utilizando-se de várias técnicas:

● utilizando “força bruta” ● capturando o tráfego da rede● fazendo uma verificação do cache

utilizando técnicas de criptoanálises

● Cain e Abel - http://www.oxid.it/cain.html

● RainbowCrack -(freeware)

http://www.antsight.com/zsl/rainbowcrack/

● John the Ripper -

http://www.openwall.com/john

http://www.oxid.it/cain.html

http://www.antsight.com/zsl/rainbowcrack/


John the ripper

Algumas possibilidades:

> testar a força dassenhas dos usuários dos servidores da Rede> recuperar senhas perdidas

Dicas de utilização:

> ler os manuais e entender como funciona o arquivo de configuração> é um utilitário local – não serve para utilização remota> fornecer pistas ao john acelera a obtenção dos resultados> a redução do tamanho dos arquivos, reduz o tempo de processamento> existem listas de palavras (dicionários) disponíveis na Internet que podem ser utilizadas como auxílio


John the ripper: formas de utilização no Linux

#john /etc/shadowLoaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32])ovo (ovo)3resu (user3)user22 (user2)1user (user1)guesses: 4 time: 0:00:00:07 8% (2) c/s: 6476 trying: gocougs1guesses: 4 time: 0:00:00:25 33% (2) c/s: 6475 trying: safety6Session aborted

#john wordfile=dicionario.lst /etc/shadowLoaded 5 passwords with 5 different salts (FreeBSD MD5 [32/32])mimosa (user4)mimosa (tunia)cachorro (user3)guesses: 3 time: 0:00:00:00 100% c/s: 46.00 trying:


John the ripper: formas de utilização no Windows


Varredores de portas (scanners)

● THC amap - http://www.thc.org/thc-amap/

(freeware)

● Superscan(freeware) http://www.foundstone.com/resources/proddesc/superscan.htm

● nmap - http://insecure.org

http://www.thc.org/thc-amap/

http://www.foundstone.com/resources/proddesc/superscan.htm

http://insecure.org/


o nmap

Algumas possibilidades:

> determinar quais hosts estão disponíveis na rede> determinar quais serviços os hosts da rede estão oferecendo> determinar quais os sistemas operacionais dos hosts> determinar qual o firewall que os hosts estão utilizando> descobrir (mapear) a rede> ...


nmap: exemplos de utilização[root@lx04 tmp]# nmap O 10.2.176.148Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on (10.2.176.148):(The 1598 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh80/tcp open http3306/tcp open mysqlRemote operating system guess: Linux Kernel 2.4.0 2.5.20Uptime 157 days (since Wed Dec 10 16:58:44 2006)Nmap run completed 1 IP address (1 host up) scanned in 9 seconds

[root@lx04 tmp]# nmap lua.ceuInteresting ports on lua.ceu (10.25.25.25):Not shown: 1693 filtered portsPORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open https515/tcp open printerNmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds

Descobrir o sistema

operacional do alvo

O sistema operacional

do alvo

Há um firewallfiltrandoas portas


nmap: a interface gráfica

O comando queé “executado”pela interface

gráfica.


Detectores de vulnerabilidades (scanners)● Scanners de rede:

● analisam um host ou uma rede em busca de vulnerabilidades que possam ser exproradas por um atacante;

● relacionam as possíveis falhas de segurança encontradas;

● classifica as falhas de segurança encontradas;

● informam como as falhas de segurança poderiam ser utilizadas por um atacante;

● sugerem correções para as vulnerabilidades encontradas;

● utilizam plugins (para fácil atualização);

● geralmente possuem interfaces gráficas.

– Lado bom: utilizados pelo Administrador para fazer uma auditoria na Rede.

– Lado mau: utilizados por atacantes para a invasão de servidores.


Pricipais scanners de vulnerabilidades

● Sara – (derivado do SATAN)

http://wwwarc.com/sara/

● Retina http://www.eeye.com/html/Products/Retina/index.html

● Nessus http://www.nessus.org

Licenciamento, plataformas e interface do nessus:

versões anteriores a 3 GPL

versão 3 comercial (os binários, para uso interno, são gratuitos)

http://www-arc.com/sara/

http://www.eeye.com/html/Products/Retina/index.html


A interface do nessus


A interface do nessus


Exemplo de gráfico fornecido pelo Nessus


Exemplo de gráfico fornecido pelo Nessus


Exploradores de vulnerabilidades (exploits)

● Exploram vulnerabilidades dos Servidores de Rede. Um exploit pode dar a um atacante privilégio de superusuário.

● Canvas -

http://www.immunitysec.com/products-canvas.shtml

● Core Impact - http://www.coresecurity.com

● Metasploit Framework -

http://www.metasploit.com/

http://www.immunitysec.com/products-canvas.shtml

http://www.coresecurity.com/


Capturadores de pacotes (sniffers)● Um sniffer é uma ferramenta que captura todos os pacotes que

passam pela placa de rede.

● A maioria dos sniffers captura apenas os pacotes de seu domínio de colisão (bons para redes que usam HUBs).

● Sniffers mais sofisticados conseguem capturar os dados de máquinas conectadas a switches (cada porta é um domínio de colisão).

● Alguns switches permitem a utilização de “mirror” de porta.

4 domínios decolisão


Principais sniffers

● Tcpdump - http://www.tcpdump.org/

A versão para o windows chama-se Windump.

● Kismet - http://www.kismetwireless.net/

● Wireshark - http://www.wireshark.org/

monitora o tráfego de pacotes na rede ferramenta útil no diagnóstico de problemas suporta atualmente mais de 750 protocolos restrito ao domínio de colisão disponibiliza os resultados através de uma interface gráfica suporta a aplicação de filtros de captura e/ou display pode analisar arquivos gerados por outros capturadores de pacotes

http://www.tcpdump.org/

http://www.kismetwireless.net/

http://www.wireshark.org/


A interface do Wireshark


Sistemas de detecção de intrusos: IDS

Host intrusion detection system

Network intrusion detection system

Host intrusion detection system


Principais IDSs

● Fragroute/Fragrouter -

Licença BSD

http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html

● OSSEC - http://www.ossec.net/

● SNORT - http://www.snort.org

Quem paga tem acesso às novasregras 5 dias antes da

comunidade.

http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html

http://www.ossec.net/


Snort

registra em logs as anomalias encontradas no sistema

detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros

Complementos:> swatch Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log.

> ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica.


ACID: a interface do Snort


Analisadores de vulnerabilidades de web servers● Analisam servidores de páginas http e apontam as

vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na verdade, scanners especializados em descobrir falhas de segurança em servidores web.

● Geralmente utilizam os protocolos http e https e podem fazer scanners furtivos (para evitar a detecção por IDSs).

● WebScarab

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

● Paros proxy

http://www.parosproxy.org/index.shtml

● Nikto

http://www.cirt.net/code/nikto.shtml

●

c

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

http://www.parosproxy.org/index.shtml


A interface do Nikto


Detectores de rootkits● Verificam se há rootkits * instalados no servidor.

● chkrootkit - http://www.chkrootkit.org/

● RKHunter

http://www.rootkit.nl/projects/rootkit_hunter.html

● AIDE

● http://sourceforge.net/projects/aide

● * Rootkits é um conjunto de programas (kit) que tem como objetivo conseguir obter o acesso como superusuário (root) ao sistema.

http://www.chkrootkit.org/

http://www.rootkit.nl/projects/rootkit_hunter.html

http://sourceforge.net/projects/aide


O funcionamento do AIDE

Procedimentos iniciais:

=> selecionar os diretórios que deverão ser protegidos

=> definir as regras de proteção

=> “fotografar” os diretórios que serão protegidos

=> gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot


Exemplos de assinaturas do AIDE

=>#aide-gera-md5-para-arquivar.sh

MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d

MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8

MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3

MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b

MD5 sum previous sums ......: 5305aafe07abeb55da362460a3ed3997

HashMD5 de 256 bits


Verificando a integridade#aide CAIDE, version 0.10

### All files match AIDE database. Looks okay!

#aide -CAIDE found differences between database and filesystem!!Start timestamp: 2006-12-09 14:07:42Summary:Total number of files=9418,added files=0,removed files=0,changed files=2Changed files:changed:/etc/adjtimechanged:/etc/BWOV019.tgzDetailed information about changes:File: /etc/adjtimeMtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA==File: /etc/BWOV019.tgzMtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA==

Verificação ok :)

Verificação não ok :(


Monitores do tráfego da rede

=> mostram quais os protocolos que trafegam na rede;

=> mostram a porcentagem de tráfego de cada protocolo;

=> possibilitam a análise de um único endereço ou a análise de toda uma sub-rede;

=> geram relatórios/gráficos;

=> podem utilizar dados capturados por sniffers;


Os melhores monitores para o tráfego da rede.

● Ngrep

http://www.packetfactory.net/projects/ngrep/

●EtherApe

http://etherape.sourceforge.net/

● Ntop http://www.ntop.org

c

c

http://www.packetfactory.net/projects/ngrep/

http://etherape.sourceforge.net/


Análise visual fornecida pelo etherape

dominio

dominio

dominio

dominio

dominio


Exemplo de relatório fornecido pelo ntop

Maquina 001

Maquina 002

Maquina 004

Maquina 005

Maquina 003

Maquina 006

Maquina 007

Maquina 008

Maquina 009

Maquina 010

Maquina 011

Maquina 012

Maquina 013

Maquina 014

Maquina 015

Maquina 016


Exemplo de relatório fornecido pelo ntop


Conclusões

● Não existe nenhuma ferramenta completa (ou definitiva) relacionada à Segurança das redes de Computadores.

● A Segurança dos dados de uma Empresa é uma questão cultural, ou seja, envolve todos os funcionários.

● Um Administrador experiente e que conheça o negócio da Empresa é uma figura essencial no processo de segurança.


Referências

● www.securityfocus.com

● csrc.nist.gov/tools/tools.htm

● www.secureroot.com/security/tools/

● www.darknet.org.uk/2006/04/top-15-securityhacking-tools-utilities/

● www.sectools.org

● s-t-d.org/tools.html


D vidas?ú

Esta apresenta o estar dispon vel em:çã á íwww.tchelinux.orgwww.pollon.org

Obrigado !!!

Technology

Ferramentas GPL para segurança de redes - Vanderlei Pollon