FISL 11 - Forum Internacional de Software Livre

2.000 visualizações

Publicada em

Publicada em: Tecnologia
1 comentário
1 gostou
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
2.000
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
114
Comentários
1
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

FISL 11 - Forum Internacional de Software Livre

  1. 1. Análise Forense de Rede utilizando Software Livre Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação 1 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  2. 2. Introdução Análise Forense de Rede • Captura e Análise de pacotes • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) 2 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  3. 3. Introdução Análise Forense de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina 3 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  4. 4. Introdução Análise Forense de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos 4 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  5. 5. Ferramentas Livres Tcpdump - http://www.tcpdump.org • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap 5 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  6. 6. Ferramentas Livres Ngrep - http://ngrep.sourceforge.net/ ● Busca expressões regulares em payloads ● Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e formato Raw ● Funciona em redes Ethernet, PPP, SLIP, FDDI, Token Ring 6 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  7. 7. Ferramentas Livres Ntop - http://www.ntop.org ● Exibe dados sobre a utilização da rede ● Gera estatísticas de uso utilizando diversos critérios ● Identifica sistemas operacionais passivamente ● Exibe tráfego de comunicação interna 7 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  8. 8. Ferramentas Livres Ntop - http://www.ntop.org 8 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  9. 9. Ferramentas Livres Tcpxtract - http://tcpxtract.sourceforge.net ● Extrai arquivos contidos no tráfego de rede capturado ● Identificação através de headers e footers (“file carving”) ● Suporte aos principais tipos de arquivo 9 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  10. 10. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org ● Captura em tempo real ● Suporta vários formatos e fontes de captura ● Multi-platforma ● Análise de cabeçalhos em árvore (encapsulamento) 10 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  11. 11. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org ● Aplicação de regras e filtros ● Funcionalidades específicas para análise de tráfego de VoIP ● Reconstrução de Sessão 11 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  12. 12. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 12 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  13. 13. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 13 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  14. 14. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 14 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  15. 15. Ferramentas Livres Xplico - http://www.xplico.org ● Network Forensic Analysis Tool (NFAT) ● Análise de informações que trafegaram pela rede ● Extrai informações como: ✔ email (POP, IMAP, SMTP) ✔ Conteúdos HTTP ✔ Chamadas VoIP (SIP) ✔ FTP, TFTP, … 15 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  16. 16. Ferramentas Livres Xplico - http://www.xplico.org ● Composto por 4 macro-componentes: * Decoder Manager * IP decoder * Um conjunto de manipuladores de dados * Sistema de visualização para os dados extraídos ● Desenvolvido utilizando as linguagens C, Python, PHP e JavaScript 16 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  17. 17. Ferramentas Livres Xplico - http://www.xplico.org ● Distribuído sob a licença GPL versão 2 ● Algumas partes apresentam licenças específicas compatíveis com a GPL (descritas em seus respectivos arquivos fonte) 17 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  18. 18. Ferramentas Livres Xplico - http://www.xplico.org ● A interface (Xplico Interface - XI) é distribuída sob 3 licenças distintas: * Mozilla Public License (>= 1.1) * GNU General Public License (>= 2.0) * GNU Lesser General Public License, (>= 2.1) 18 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  19. 19. Ferramentas Livres Xplico - http://www.xplico.org 19 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  20. 20. Ferramentas Livres Xplico - http://www.xplico.org 20 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  21. 21. Ferramentas Livres Xplico - http://www.xplico.org 21 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  22. 22. Ferramentas Livres Xplico - http://www.xplico.org 22 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  23. 23. Ferramentas Livres Xplico - http://www.xplico.org 23 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  24. 24. Ferramentas Livres Xplico - http://www.xplico.org 24 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  25. 25. Ferramentas Livres Xplico - http://www.xplico.org 25 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  26. 26. Ferramentas Livres Xplico - http://www.xplico.org 26 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  27. 27. Ferramentas Livres Xplico - http://www.xplico.org 27 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  28. 28. Ferramentas Livres Xplico - http://www.xplico.org 28 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  29. 29. Fim... Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação 29 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5

×