Ferramentas GPL para segurança
           de redes




                 www.tchelinux.org
                  Palestrante: V...
Sobre o palestrante



●
    Nome: Vanderlei Pollon
●
    Graduação: Matemática (UFRGS)
●
    Pós-técnico: Redes de Comput...
Resumo deste trabalho
●
    Fazer uma breve análise das principais
    ferramentas GPL relacionadas a Redes de
    Computa...
legenda utilizada

ferramenta nativa para Linux
ferramenta nativa para MAC OS X
ferramenta nativa para FreeBSD
ferramenta ...
Verificadores de senhas fracas (cracker)
●
    Tenta descobrir senhas utilizando-se de várias técnicas:
         ●
       ...
John the ripper
Algumas possibilidades:

> testar a força dassenhas dos usuários dos servidores da Rede
> recuperar senhas...
John the ripper: formas de utilização no Linux

#john  /etc/shadow
Loaded 8 passwords with 8 different salts (FreeBSD MD5 ...
John the ripper: formas de utilização no Windows




                   www.tchelinux.org
Varredores de portas (scanners)




●
    THC amap - http://www.thc.org/thc-amap/
    (freeware)
●
    Superscan(freeware)...
o nmap




Algumas possibilidades:

> determinar quais hosts estão disponíveis na rede
> determinar quais serviços os host...
nmap: exemplos de utilização
[root@lx04 tmp]# nmap ­O 10.2.176.148                                   Descobrir o 
Starting...
nmap: a interface gráfica




                            O comando que
                            é “executado”
        ...
Detectores de vulnerabilidades (scanners)
●
    Scanners de rede:
●
    analisam  um  host  ou  uma  rede  em  busca  de  ...
Pricipais scanners de vulnerabilidades
●
     Sara – (derivado do SATAN) 
 http://www­arc.com/sara/ ­ 


●
     Retina ­ h...
A interface do nessus




     www.tchelinux.org
A interface do nessus




     www.tchelinux.org
Exemplo de gráfico fornecido pelo Nessus




               www.tchelinux.org
Exemplo de gráfico fornecido pelo Nessus




               www.tchelinux.org
Exploradores de vulnerabilidades (exploits)


●
    Exploram vulnerabilidades dos Servidores de Rede. Um exploit
    pode ...
Capturadores de pacotes (sniffers)
●
    Um sniffer é uma ferramenta que captura todos os pacotes que
    passam pela plac...
Principais sniffers

●
    Tcpdump - http://www.tcpdump.org/
     A versão para o windows chama-se Windump.


●
    Kismet...
A interface do Wireshark




       www.tchelinux.org
Sistemas de detecção de intrusos: IDS



                                  Host intrusion 
                               ...
Principais IDSs

●
    Fragroute/Fragrouter -
    Licença BSD
http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrou...
Snort
 registra em logs as anomalias encontradas no sistema

 detecta uma variedade de ataques como: buffer overflows,
 sc...
ACID: a interface do Snort




        www.tchelinux.org
Analisadores de vulnerabilidades de web servers
●
    Analisam    servidores   de   páginas  http   e   apontam     as
   ...
A interface do Nikto




     www.tchelinux.org
Detectores de rootkits
●
    Verificam se há rootkits * instalados no servidor.


●
    chkrootkit - http://www.chkrootkit...
O funcionamento do AIDE


Procedimentos iniciais:


=> selecionar os diretórios que deverão ser protegidos

=> definir as ...
Exemplos de assinaturas do AIDE


=>#aide-gera-md5-para-arquivar.sh

MD5 sum of /etc/aide.conf ..:
 d68a8e95274ff866d2deb6...
Verificando a integridade
#aide ­C                                                     Verificação 
AIDE, version 0.10    ...
Monitores do tráfego da rede
   
   => mostram quais os protocolos que trafegam na rede;

 => mostram a porcentagem de trá...
Os melhores monitores para o tráfego da rede.
   
●
      Ngrep

      http://www.packetfactory.net/projects/ngrep/


●
 E...
Análise visual fornecida pelo etherape




            dominio

                                                    domini...
Exemplo de relatório fornecido pelo ntop




       Maquina 001
       Maquina 002
       Maquina 003
       Maquina 004
 ...
Exemplo de relatório fornecido pelo ntop




                   www.tchelinux.org
Conclusões
   
●
   Não existe nenhuma ferramenta completa (ou
definitiva) relacionada à Segurança das redes de
Computador...
Referências
●      www.securityfocus.com

●
     csrc.nist.gov/tools/tools.htm


●
     www.secureroot.com/security/tools/...
Dúvidas?


    Esta apresentação estará disponível em:
                                              www.tchelinux.org
   ...
Próximos SlideShares
Carregando em…5
×

Ferramentas GPL para segurança de redes - Vanderlei Pollon

2.620 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.620
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
131
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Ferramentas GPL para segurança de redes - Vanderlei Pollon

  1. 1. Ferramentas GPL para segurança de redes www.tchelinux.org Palestrante: Vanderlei Pollon 2º Seminário de Software Livre Tchelinux ­  Edição Porto Alegre ­  01/12/2007
  2. 2. Sobre o palestrante ● Nome: Vanderlei Pollon ● Graduação: Matemática (UFRGS) ● Pós-técnico: Redes de Computadores (UFRGS) ● Especialização 1: Informática e Telemática (UFRGS) ● Especialização 2: Tecnologias, Gerência e Segurança de Redes (UFRGS) ● Email: vanderlei@pollon.org ● Site: www.pollon.org www.tchelinux.org
  3. 3. Resumo deste trabalho ● Fazer uma breve análise das principais ferramentas GPL relacionadas a Redes de Computadores ● Abstract Making a brief analysis of the main tools GPL related to Computer Networks www.tchelinux.org
  4. 4. legenda utilizada ferramenta nativa para Linux ferramenta nativa para MAC OS X ferramenta nativa para FreeBSD ferramenta nativa para Windows ferramenta paga é possível o acesso ao código fonte a ferramenta possui interface gráfica pode ser utilizada via linha de comando www.tchelinux.org
  5. 5. Verificadores de senhas fracas (cracker) ● Tenta descobrir senhas utilizando-se de várias técnicas: ● utilizando “força bruta” ● capturando o tráfego da rede ● fazendo uma verificação do cache utilizando técnicas de criptoanálises ● Cain e Abel - http://www.oxid.it/cain.html ● RainbowCrack -(freeware) http://www.antsight.com/zsl/rainbowcrack/ ● John the Ripper - http://www.openwall.com/john www.tchelinux.org
  6. 6. John the ripper Algumas possibilidades: > testar a força dassenhas dos usuários dos servidores da Rede > recuperar senhas perdidas Dicas de  utilização: > ler os manuais e entender como funciona o arquivo de configuração > é um utilitário local – não serve para utilização remota > fornecer pistas  ao john acelera a obtenção dos resultados > a redução do tamanho dos arquivos, reduz o tempo de processamento > existem listas de palavras (dicionários) disponíveis na Internet que podem  ser utilizadas  como auxílio www.tchelinux.org
  7. 7. John the ripper: formas de utilização no Linux #john  /etc/shadow Loaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32]) ovo              (ovo) 3resu           (user3) user22         (user2) 1user           (user1) guesses: 4  time: 0:00:00:07 8% (2)  c/s: 6476  trying: gocougs1 guesses: 4  time: 0:00:00:25 33% (2)  c/s: 6475  trying: safety6 Session aborted #john ­ ­wordfile=dicionario.lst /etc/shadow Loaded 5 passwords with 5 different salts (FreeBSD MD5  [32/32]) mimosa           (user4) mimosa           (tunia) cachorro         (user3) guesses: 3  time: 0:00:00:00 100%  c/s: 46.00  trying:  www.tchelinux.org
  8. 8. John the ripper: formas de utilização no Windows www.tchelinux.org
  9. 9. Varredores de portas (scanners) ● THC amap - http://www.thc.org/thc-amap/ (freeware) ● Superscan(freeware) http://www.foundstone.com/resources/proddesc/superscan.htm ● nmap - http://insecure.org www.tchelinux.org
  10. 10. o nmap Algumas possibilidades: > determinar quais hosts estão disponíveis na rede > determinar quais serviços os hosts da rede estão oferecendo > determinar quais os sistemas operacionais dos hosts > determinar qual o firewall que os hosts estão utilizando > descobrir (mapear) a rede > ... www.tchelinux.org
  11. 11. nmap: exemplos de utilização [root@lx04 tmp]# nmap ­O 10.2.176.148 Descobrir o  Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on  (10.2.176.148): sistema  (The 1598 ports scanned but not shown below are in state: closed) operacional  Port        State      Service 22/tcp      open        ssh do alvo 80/tcp      open        http 3306/tcp   open        mysql O sistema  Remote operating system guess: Linux Kernel 2.4.0 ­ 2.5.20 Uptime 157 days (since Wed Dec 10 16:58:44 2006) operacional  Nmap run completed ­­ 1 IP address (1 host up) scanned in 9 seconds do alvo [root@lx04 tmp]# nmap  lua.ceu Interesting ports on lua.ceu (10.25.25.25): Not shown: 1693 filtered ports Há um firewall PORT     STATE  SERVICE 22/tcp   open   ssh filtrando 80/tcp   open   http as portas 443/tcp  open  https 515/tcp  open   printer Nmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds www.tchelinux.org
  12. 12. nmap: a interface gráfica O comando que é “executado” pela interface  gráfica. www.tchelinux.org
  13. 13. Detectores de vulnerabilidades (scanners) ● Scanners de rede: ● analisam  um  host  ou  uma  rede  em  busca  de  vulnerabilidades  que  possam  ser  exproradas  por um atacante; ●  relacionam as possíveis falhas de segurança encontradas; ●  classifica as falhas de segurança encontradas; ●  informam como as falhas de segurança poderiam ser utilizadas por um   atacante; ●  sugerem correções para as vulnerabilidades encontradas; ●  utilizam plugins (para fácil atualização); ● geralmente possuem interfaces gráficas. – Lado bom: utilizados pelo Administrador para fazer uma auditoria na Rede. – Lado mau: utilizados por atacantes para a invasão de servidores. www.tchelinux.org
  14. 14. Pricipais scanners de vulnerabilidades ● Sara – (derivado do SATAN)   http://www­arc.com/sara/ ­  ● Retina ­ http://www.eeye.com/html/Products/Retina/index.html  ● Nessus ­ http://www.nessus.org Licenciamento, plataformas e interface do nessus:  versões anteriores a 3 ­ GPL  versão 3  ­ comercial     (os binários, para uso interno, são      gratuitos) www.tchelinux.org
  15. 15. A interface do nessus www.tchelinux.org
  16. 16. A interface do nessus www.tchelinux.org
  17. 17. Exemplo de gráfico fornecido pelo Nessus www.tchelinux.org
  18. 18. Exemplo de gráfico fornecido pelo Nessus www.tchelinux.org
  19. 19. Exploradores de vulnerabilidades (exploits) ● Exploram vulnerabilidades dos Servidores de Rede. Um exploit pode dar a um atacante privilégio de superusuário. ● Canvas - http://www.immunitysec.com/products-canvas.shtml ● Core Impact - http://www.coresecurity.com ● Metasploit Framework - http://www.metasploit.com/ www.tchelinux.org
  20. 20. Capturadores de pacotes (sniffers) ● Um sniffer é uma ferramenta que captura todos os pacotes que passam pela placa de rede. ● A maioria dos sniffers captura apenas os pacotes de seu domínio de colisão (bons para redes que usam HUBs). ● Sniffers mais sofisticados conseguem capturar os dados de máquinas conectadas a switches (cada porta é um domínio de colisão). ● Alguns switches permitem a utilização de “mirror” de porta. 4 domínios de colisão www.tchelinux.org
  21. 21. Principais sniffers ● Tcpdump - http://www.tcpdump.org/ A versão para o windows chama-se Windump. ● Kismet - http://www.kismetwireless.net/ ● Wireshark - http://www.wireshark.org/   monitora o tráfego de pacotes na rede   ferramenta útil no diagnóstico de problemas   suporta atualmente mais de 750 protocolos   restrito ao domínio de colisão   disponibiliza os resultados através de uma interface gráfica   suporta a aplicação de filtros de captura e/ou display   pode analisar arquivos gerados por outros capturadores de pacotes  www.tchelinux.org
  22. 22. A interface do Wireshark www.tchelinux.org
  23. 23. Sistemas de detecção de intrusos: IDS Host intrusion  detection system Network intrusion  detection system www.tchelinux.org
  24. 24. Principais IDSs ● Fragroute/Fragrouter - Licença BSD http://www.packetstormsecurity.nl/UNIX/IDS/nidsbench/fragrouter.html ● OSSEC - http://www.ossec.net/ ● SNORT - http://www.snort.org Quem paga tem acesso às novas regras 5 dias antes da comunidade. www.tchelinux.org
  25. 25. Snort  registra em logs as anomalias encontradas no sistema  detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros Complementos: > swatch     Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log. > ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica. www.tchelinux.org
  26. 26. ACID: a interface do Snort www.tchelinux.org
  27. 27. Analisadores de vulnerabilidades de web servers ● Analisam servidores de páginas http e apontam as vulnerabilidades encontradas. Fazem mais de 3000 testes. São, na verdade, scanners especializados em descobrir falhas de segurança em servidores web. ● Geralmente utilizam os protocolos http e https e podem fazer scanners furtivos (para evitar a detecção por IDSs). ● WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Projec ● Paros proxy http://www.parosproxy.org/index.shtml ● Nikto c http://www.cirt.net/code/nikto.shtml ● www.tchelinux.org
  28. 28. A interface do Nikto www.tchelinux.org
  29. 29. Detectores de rootkits ● Verificam se há rootkits * instalados no servidor. ● chkrootkit - http://www.chkrootkit.org/ ● RKHunter http://www.rootkit.nl/projects/rootkit_hunter.html ● AIDE ● http://sourceforge.net/projects/aide ● * Rootkits é um conjunto de programas (kit) que tem como objetivo conseguir obter o acesso como superusuário (root) ao sistema. www.tchelinux.org
  30. 30. O funcionamento do AIDE Procedimentos iniciais: => selecionar os diretórios que deverão ser protegidos => definir as regras de proteção => “fotografar” os diretórios que serão protegidos => gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot www.tchelinux.org
  31. 31. Exemplos de assinaturas do AIDE =>#aide-gera-md5-para-arquivar.sh MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8 MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3 MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b Hash MD5 sum previous sums ......: MD5 de 256 bits 5305aafe07abeb55da362460a3ed3997 www.tchelinux.org
  32. 32. Verificando a integridade #aide ­C Verificação  AIDE, version 0.10 ok :) ### All files match AIDE database.  Looks okay! #aide -C Verificação  AIDE found differences between database and filesystem!! não ok :( Start timestamp: 2006-12-09 14:07:42 Summary: Total number of files=9418,added files=0,removed files=0,changed files=2 Changed files: changed:/etc/adjtime changed:/etc/BWOV019.tgz Detailed information about changes: File: /etc/adjtime Mtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19 Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19 MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA== File: /etc/BWOV019.tgz Mtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51 Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51 MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA== www.tchelinux.org
  33. 33. Monitores do tráfego da rede     => mostram quais os protocolos que trafegam na rede; => mostram a porcentagem de tráfego de cada protocolo; => possibilitam a análise de um único endereço ou a análise de toda uma sub-rede; => geram relatórios/gráficos; => podem utilizar dados capturados por sniffers; www.tchelinux.org
  34. 34. Os melhores monitores para o tráfego da rede.     ● Ngrep http://www.packetfactory.net/projects/ngrep/ ● EtherApe c http://etherape.sourceforge.net/ ● Ntop c http://www.ntop.org www.tchelinux.org
  35. 35. Análise visual fornecida pelo etherape dominio dominio dominio dominio dominio www.tchelinux.org
  36. 36. Exemplo de relatório fornecido pelo ntop Maquina 001 Maquina 002 Maquina 003 Maquina 004 Maquina 005 Maquina 006 Maquina 007 Maquina 008 Maquina 009 Maquina 010 Maquina  011 Maquina 012 Maquina 013 Maquina 014 Maquina 015 Maquina 016 www.tchelinux.org
  37. 37. Exemplo de relatório fornecido pelo ntop www.tchelinux.org
  38. 38. Conclusões     ● Não existe nenhuma ferramenta completa (ou definitiva) relacionada à Segurança das redes de Computadores. ● A Segurança dos dados de uma Empresa é uma questão cultural, ou seja, envolve todos os funcionários. ● Um Administrador experiente e que conheça o negócio da Empresa é uma figura essencial no processo de segurança. www.tchelinux.org
  39. 39. Referências ●    www.securityfocus.com ● csrc.nist.gov/tools/tools.htm ● www.secureroot.com/security/tools/ ● www.darknet.org.uk/2006/04/top-15-securityhacking-tools- utilities/ ● www.sectools.org ● s-t-d.org/tools.html www.tchelinux.org
  40. 40. Dúvidas? Esta apresentação estará disponível em: www.tchelinux.org www.pollon.org Obrigado !!!   www.tchelinux.org

×