SlideShare uma empresa Scribd logo
Análise Forense de Rede
  utilizando Software Livre

Rafael Soares Ferreira
Diretor de Resposta a Incidentes e Auditorias
Clavis Segurança da Informação


                                                                                               1

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Introdução
Análise Forense de Rede


 • Captura e Análise de pacotes

 • Reprodução da sessão capturada

 • Reconstrução de arquivos que foram transferidos
 durante a sessão capturada (imagens, dados)




                                                                                              2

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Introdução
Análise Forense de Rede

• Endereço IP inválido ou suspeito (endereços
reservados ou conhecidos de outros ataques)

• Portas suspeitas

• Pacotes contendo comandos, saídas de comandos
e códigos de NOP’s;

• Flood de pacotes para um determinado serviço ou
máquina


                                                                                              3

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Introdução
Análise Forense de Rede




Requisições HTTP suspeitas:
• Mesma URL em várias requisições
• URL’s contendo referências a comandos




                                                                                              4

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Tcpdump - http://www.tcpdump.org




• Ferramenta tradicional de captura de tráfego

• Aceita filtros por expressões

• Biblioteca padrão para captura de tráfego: libpcap




                                                                                              5

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Ngrep - http://ngrep.sourceforge.net/


 ●   Busca expressões regulares em payloads

 ●   Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e
     formato Raw

 ●   Funciona em redes Ethernet, PPP, SLIP, FDDI,
     Token Ring




                                                                                                6

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Ntop - http://www.ntop.org



 ●   Exibe dados sobre a utilização da rede

 ●   Gera estatísticas de uso utilizando diversos critérios

 ●   Identifica sistemas operacionais passivamente

 ●   Exibe tráfego de comunicação interna




                                                                                                7

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Ntop - http://www.ntop.org




                                                                                              8

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Tcpxtract - http://tcpxtract.sourceforge.net


  ●   Extrai arquivos contidos no tráfego de rede
      capturado

  ●   Identificação através de headers e footers (“file
      carving”)

  ●   Suporte aos principais tipos de arquivo




                                                                                                 9

           Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Wireshark / tshark - http://www.wireshark.org



 ●   Captura em tempo real

 ●   Suporta vários formatos e fontes de captura

 ●   Multi-platforma

 ●   Análise de cabeçalhos em árvore (encapsulamento)




                                                                                                10

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Wireshark / tshark - http://www.wireshark.org


 ●   Aplicação de regras e filtros

 ●   Funcionalidades específicas para análise de
     tráfego de VoIP

 ●   Reconstrução de Sessão




                                                                                                11

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Wireshark / tshark - http://www.wireshark.org




                                                                                              12

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Wireshark / tshark - http://www.wireshark.org




                                                                                              13

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Wireshark / tshark - http://www.wireshark.org




                                                                                              14

        Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org


 ●   Network Forensic Analysis Tool (NFAT)

 ●   Análise de informações que trafegaram pela rede

 ●   Extrai informações como:
       ✔ email (POP, IMAP, SMTP)
       ✔ Conteúdos HTTP
       ✔ Chamadas VoIP (SIP)
       ✔ FTP, TFTP, …


                                                                                                15

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org


 ●   Composto por 4 macro-componentes:

     *   Decoder Manager
     *   IP decoder
     *   Um conjunto de manipuladores de dados
     *   Sistema de visualização para os dados extraídos

 ●   Desenvolvido utilizando as linguagens C, Python,
     PHP e JavaScript


                                                                                                  16

            Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




 ●   Distribuído sob a licença GPL versão 2

 ●   Algumas partes apresentam licenças específicas
     compatíveis com a GPL (descritas em seus
     respectivos arquivos fonte)




                                                                                                17

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org


 ●   A interface (Xplico Interface - XI) é distribuída sob
     3 licenças distintas:

       * Mozilla Public License (>= 1.1)

       * GNU General Public License (>= 2.0)

       * GNU Lesser General Public License, (>= 2.1)




                                                                                                18

          Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               19

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               20

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               21

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               22

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               23

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               24

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               25

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               26

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               27

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas Livres
Xplico - http://www.xplico.org




                                                                                               28

         Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Fim...


      Muito Obrigado!
Rafael Soares Ferreira
rafael@clavis.com.br
Diretor de Resposta a Incidentes e Auditorias
Clavis Segurança da Informação




                                                                                            29

      Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5

Mais conteúdo relacionado

Semelhante a FISL 11 - Forum Internacional de Software Livre

Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final  Distro Penetration Testing Unimep2009Backtrack 4 Final  Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
Mauro Risonho de Paula Assumpcao
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
gleydsonslim
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen test
Paulo Renato Lopes Seixas
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
Bravo Tecnologia
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
Roberto Castro
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Kali linux
Kali linux Kali linux
Kali linux
GonalioSoares
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Alexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
SegInfo
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Tchelinux
 
Python e suas aplicações
Python e suas aplicaçõesPython e suas aplicações
Python e suas aplicações
Izabela Guerreiro
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014
Leandro Bennaton
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
Eduardo Santana
 
Backtrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
Backtrack 4 Final – Distro Penetration Testing - Falando sobre PentestingBacktrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
Backtrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
Mauro Risonho de Paula Assumpcao
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
evandrovv
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
Alcyon Ferreira de Souza Junior, MSc
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
mauriciomoda
 

Semelhante a FISL 11 - Forum Internacional de Software Livre (20)

Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final  Distro Penetration Testing Unimep2009Backtrack 4 Final  Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen test
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Kali linux
Kali linux Kali linux
Kali linux
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
 
Python e suas aplicações
Python e suas aplicaçõesPython e suas aplicações
Python e suas aplicações
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Backtrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
Backtrack 4 Final – Distro Penetration Testing - Falando sobre PentestingBacktrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
Backtrack 4 Final – Distro Penetration Testing - Falando sobre Pentesting
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 

Mais de Clavis Segurança da Informação

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
Clavis Segurança da Informação
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
Clavis Segurança da Informação
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Clavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
Clavis Segurança da Informação
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
Clavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
 Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (20)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Webinar # 21 – Análise Forense de Redes
 Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 

Último

Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Annelise Gripp
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
anpproferick
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
anpproferick
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
tnrlucas
 
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptxREDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
IranyGarcia
 
Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
Rafael Santos
 

Último (6)

Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
 
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptxREDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
 
Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
 

FISL 11 - Forum Internacional de Software Livre

  • 1. Análise Forense de Rede utilizando Software Livre Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação 1 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 2. Introdução Análise Forense de Rede • Captura e Análise de pacotes • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) 2 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 3. Introdução Análise Forense de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina 3 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 4. Introdução Análise Forense de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos 4 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 5. Ferramentas Livres Tcpdump - http://www.tcpdump.org • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap 5 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 6. Ferramentas Livres Ngrep - http://ngrep.sourceforge.net/ ● Busca expressões regulares em payloads ● Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e formato Raw ● Funciona em redes Ethernet, PPP, SLIP, FDDI, Token Ring 6 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 7. Ferramentas Livres Ntop - http://www.ntop.org ● Exibe dados sobre a utilização da rede ● Gera estatísticas de uso utilizando diversos critérios ● Identifica sistemas operacionais passivamente ● Exibe tráfego de comunicação interna 7 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 8. Ferramentas Livres Ntop - http://www.ntop.org 8 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 9. Ferramentas Livres Tcpxtract - http://tcpxtract.sourceforge.net ● Extrai arquivos contidos no tráfego de rede capturado ● Identificação através de headers e footers (“file carving”) ● Suporte aos principais tipos de arquivo 9 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 10. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org ● Captura em tempo real ● Suporta vários formatos e fontes de captura ● Multi-platforma ● Análise de cabeçalhos em árvore (encapsulamento) 10 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 11. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org ● Aplicação de regras e filtros ● Funcionalidades específicas para análise de tráfego de VoIP ● Reconstrução de Sessão 11 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 12. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 12 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 13. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 13 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 14. Ferramentas Livres Wireshark / tshark - http://www.wireshark.org 14 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 15. Ferramentas Livres Xplico - http://www.xplico.org ● Network Forensic Analysis Tool (NFAT) ● Análise de informações que trafegaram pela rede ● Extrai informações como: ✔ email (POP, IMAP, SMTP) ✔ Conteúdos HTTP ✔ Chamadas VoIP (SIP) ✔ FTP, TFTP, … 15 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 16. Ferramentas Livres Xplico - http://www.xplico.org ● Composto por 4 macro-componentes: * Decoder Manager * IP decoder * Um conjunto de manipuladores de dados * Sistema de visualização para os dados extraídos ● Desenvolvido utilizando as linguagens C, Python, PHP e JavaScript 16 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 17. Ferramentas Livres Xplico - http://www.xplico.org ● Distribuído sob a licença GPL versão 2 ● Algumas partes apresentam licenças específicas compatíveis com a GPL (descritas em seus respectivos arquivos fonte) 17 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 18. Ferramentas Livres Xplico - http://www.xplico.org ● A interface (Xplico Interface - XI) é distribuída sob 3 licenças distintas: * Mozilla Public License (>= 1.1) * GNU General Public License (>= 2.0) * GNU Lesser General Public License, (>= 2.1) 18 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 19. Ferramentas Livres Xplico - http://www.xplico.org 19 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 20. Ferramentas Livres Xplico - http://www.xplico.org 20 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 21. Ferramentas Livres Xplico - http://www.xplico.org 21 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 22. Ferramentas Livres Xplico - http://www.xplico.org 22 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 23. Ferramentas Livres Xplico - http://www.xplico.org 23 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 24. Ferramentas Livres Xplico - http://www.xplico.org 24 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 25. Ferramentas Livres Xplico - http://www.xplico.org 25 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 26. Ferramentas Livres Xplico - http://www.xplico.org 26 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 27. Ferramentas Livres Xplico - http://www.xplico.org 27 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 28. Ferramentas Livres Xplico - http://www.xplico.org 28 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
  • 29. Fim... Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação 29 Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5