ferramentas gpl para a segurança de redes de computadores - vanderlei pollon
TRANSCRIPT
Ferramentas GPL para a seguran a de Redes de Computadoresç
Vanderlei Pollon
Email: [email protected]: www.pollon.org
1º Seminário de Software Livre Tchelinux - Edição Erechim - 23 de Junho de 2007
Ferramentas GPL para a segurança de Redes de Computadores
Para meditação:Eu escrevi estas páginas com intenções honestas. Por favor não abuse deste trabalho. Seja uma pessoa de coração puro.
For meditation:I wrote these pages with honest intentions. Please do not abuse this work.Either a person of pure heart.
Objetivo deste trabalho
Fornecer uma vis o geral das principais ferramentas GPL ã relacionadas seguran a de Redes de Computadores.à ç
Objective of this work
To supply a general vision of main related tools GPL to the security of Computer networks.
Ferramentas GPL para a segurança de Redes de Computadores
O que é GPL? GNU General Public License (Licen a P blica Geral), GNU GPL ou ç úsimplesmente GPL, a designa o da licen a para software livre é çã çidealizada por Richard Stallman no final da d cada de 1980, no émbito do projecto GNU da Free Software Foundation (FSF).â
Em termos gerais, a GPL baseia-se em 4 liberdades: 1. A liberdade de executar o programa, para qualquer prop sito.ó 2. A liberdade de estudar como o programa funciona e adapt -lo ápara as suas necessidades. O acesso ao c digo-fonte um pr -ó é érequisito para esta liberdade. 3. A liberdade de redistribuir c pias de modo que voc possa ó êajudar ao seu pr ximo.ó 4. A liberdade de aperfei oar o programa, e liberar os seus çaperfei oamentos, de modo que toda a comunidade se beneficie çdeles. O acesso ao c digo-fonte um pr -requisito para esta ó é éliberdade.
Acesse http://www.gnu.org/licenses/gpl.html para ver o texto completo.
Ferramentas GPL para a segurança de Redes de Computadores
Proxy web: squid
Ferramentas GPL para a segurança de Redes de Computadores
Clientes(Browser)
Proxy – uma máquina com duas placas de rede
Servidor
Algumas possibilidades:
> caching http> logs de acesso> autenticação> bloqueio de URLS
Plataformas:
> BSD> Linux
www.squid-cache.org
Complementos
> sarg> logrotate> squid-auth> apache
Ferramentas GPL para a segurança de Redes de Computadores
Exemplo de relatório gerado pelo sarg (1)
Ferramentas GPL para a segurança de Redes de Computadores
Exemplo de relatório gerado pelo sarg (2)
Ferramentas GPL para a segurança de Redes de Computadores
[root@l002 daily]# ls -l /var/log/squidtotal 12244
-rw-r--r-- 1 proxy proxy 2707272 Feb 25 12:32 access.log-rw-r--r-- 1 proxy proxy 9688997 Feb 23 04:01 access.log.0-rw-r--r-- 1 proxy proxy 35280 Feb 15 04:02 access.log.1-rw-r--r-- 1 proxy proxy 9795 Feb 25 11:41 cache.log-rw-r--r-- 1 proxy proxy 56657 Feb 23 04:23 cache.log.0-rw-r--r-- 1 proxy proxy 7739 Feb 16 04:23 cache.log.1
Exemplo de logs rotacionadas pelo logrotate
Ferramentas GPL para a segurança de Redes de Computadores
Firewall: iptables
Algumas possibilidades:
> filtro de pacotes na saída> filtro de pacotes na entrada > logs dos pacotes> NAT (todos os tipos)
Plataformas:
> BSD> Linux
http://www.netfilter.org
Complementos
> sarg> logrotate
Ferramentas GPL para a segurança de Redes de Computadores
Algumas regras simples para o iptables:
➔#/sbin/iptables -A INPUT -p tcp –syn -j DROP
➔ #/sbin/iptables -A INPUT -p tcp –syn –destination-port 22 -j ACCEPT #/sbin /iptables -A INPUT -p tcp –syn -j DROP
Todas as portasda máquina, exceto a 22,
estão fechadas.
Todas as portasda máquina
estão fechadas.
Iptables: criando regras pela linha de comando
Ferramentas GPL para a segurança de Redes de Computadores
Firewall Builder: interface gráfica para o iptables
www.fwbuilder.org
Plataformas:
> BSD> Linux> Windows (sygwin + qt)
Ferramentas GPL para a segurança de Redes de Computadores
Firewall Builder: interface gráfica para o iptables
Ferramentas GPL para a segurança de Redes de Computadores
VPN: OpenVPN
Algumas possibilidades:
> implementação simplificada> suporte a NAT > multiplataforma> transparente aos usuários> tunelamento IP ou em modo bridge
Plataformas:
> Linux> Windows 2000/XP (e mais novos)> OpenBSD> NetBSD> FreeBSD> Mac OS X> Solaris
http://openvpn.net
Complemento
> logrotate* Você pode obter detalhes sobre a configuraçãodo OpenVPN no Linux e no Windows emhttp://pollon.org/download3/pelotas2007/11_OpenVPN.pdf
Ferramentas GPL para a segurança de Redes de Computadores
KVpnc: interface gráfica para o OpenVPN
Outras interfaces:
> OpenVPN-Admin (L,W)> Open VPN GUI (W)> Open VPN-Control (L,W)> Kovpn (L,W)
Kvpnc(linux)
Ferramentas GPL para a segurança de Redes de Computadores
Verificação de integridade: aide
FUNCIONAMENTO
=> selecionar os diretórios que deverão ser protegidos
=> definir as regras de proteção
=> “fotografar” os diretórios que serão protegidos
=> gerar um hash dos arquivos básicos do Aide: conf, db, binário e setor de boot
Software necessário> aide (Advanced Intrusion Detection Environment)
> http://sourceforge.net/projects/aide
Plataformas:
> Linux> AIX > OpenBSD> NetBSD> FreeBSD> Mac OS X> Solaris
Ferramentas GPL para a segurança de Redes de Computadores
Exemplos de assinaturas do AIDE
=>#aide-gera-md5-para-arquivar.sh
MD5 sum of /etc/aide.conf ..: d68a8e95274ff866d2deb6980efea96d
MD5 sum of /usr/bin/aide ...: d4317d10928c9a0b71f2e052c320d5a8
MD5 sum of /var/aide/aide.db: bb74b2bad00af6d77219abf041d3c4b3
MD5 sum of boot sector .....: bf619eac0cdf3f68d496ea9344137e8b
MD5 sum previous sums ......: 5305aafe07abeb55da362460a3ed3997
HashMD5 de 256
bits
Ferramentas GPL para a segurança de Redes de Computadores
Verificando a integridade
#aide -CAIDE found differences between database and filesystem!!Start timestamp: 2006-12-09 14:07:42Summary:Total number of files=9418,added files=0,removed files=0,changed files=2Changed files:changed:/etc/adjtimechanged:/etc/BWOV019.tgzDetailed information about changes:File: /etc/adjtimeMtime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19Ctime: old = 2006-12-05 04:23:45, new = 2006-12-09 04:10:19MD5: old = aJzARt+pdAkkRp3Fdr9Ivg== , new = s1XUSitvaWyaUtfM50cfIA==File: /etc/BWOV019.tgzMtime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51Ctime: old = 2006-12-05 07:47:26, new = 2006-12-09 07:49:51MD5: old = g4/H2GJhhPOabVZJcvVs+A== , new = lv5AdKztxr2DpEJaU/ztJA==
#aide CAIDE, version 0.10
### All files match AIDE database. Looks okay!
Verificação ok :)
Verificação não ok :(
Ferramentas GPL para a segurança de Redes de Computadores
Varredura de portas (scanner): nmap
Plataformas:> Linux> Windows 95 (e mais novos)> OpenBSD> NetBSD> FreeBSD> Mac OS
Algumas possibilidades:> determinar quais hosts estão disponíveis na rede> determinar quais serviços os hosts da rede estão oferecendo> determinar quais os sistemas operacionais dos hosts> determinar qual o firewall que os hosts estão utilizando> ...
Site oficial -> http://insecure.org
Ferramentas GPL para a segurança de Redes de Computadores
nmap: exemplos de utilização
[root@lx04 tmp]# nmap -O 10.2.176.148
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on (10.2.176.148):(The 1598 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh80/tcp open http3306/tcp open mysqlRemote operating system guess: Linux Kernel 2.4.0 - 2.5.20Uptime 157 days (since Wed Dec 10 16:58:44 2006)
Nmap run completed -- 1 IP address (1 host up) scanned in 9 seconds
Descobrir o sistema
operacional do alvo
O sistema operacional
do alvo
[root@lx04 tmp]# nmap lua.ceu
Interesting ports on lua.ceu (10.25.25.25):Not shown: 1693 filtered portsPORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open https515/tcp open printer
Nmap finished: 1 IP address (1 host up) scanned in 1222.659 seconds
Há um firewallfiltrandoas portas
Ferramentas GPL para a segurança de Redes de Computadores
nmap: a interface gráfica
Ferramentas GPL para a segurança de Redes de Computadores
Scanner para vulnerabilidades e auditoria de redes: nessus
Algumas possibilidades:
> efetua uma varredura em uma máquina ou em toda uma sub-rede;> relaciona as possíveis falhas de segurança encontradas;> classifica as falhas de segurança encontradas;> informa como as falhas de segurança poderiam ser utilizadas por um atacante;> sugere correções para as vulnerabilidades encontradas;> utiliza plugins (para fácil atualização);> possui uma interface gráfica.
Plataformas (todas 32 bits):
> Linux> FreeBSD> Mac OS X> Solaris> Windows XP/2000/2003
http://www.nessus.org
Licenciamento:
> versões anteriores a 3 (GPL)> versões maiores que 3 comercial (os binários, para uso interno, são gratuitos)
Ferramentas GPL para a segurança de Redes de Computadores
Scanner para vulnerabilidades e auditoria de redes: nessus
Ferramentas GPL para a segurança de Redes de Computadores
Ferramentas GPL para a segurança de Redes de Computadores
Scanner para vulnerabilidades e auditoria de redes: nessus
Ferramentas GPL para a segurança de Redes de Computadores
Verificador de senhas fracas: John the ripper
Plataformas suportadas:
> Linux> Windows 95(e mais novos)> NetBSD> OpenBSD> FreeBSD> BeOS > MacOS X
Algumas possibilidades:
> testar as senhas dos usuários dos servidores> recuperar senhas perdidas
Site oficial -> http://www.openwall.com/john
Dicas de utilização:
> ler os manuais e entender como funciona o arquivo de configuração> fornecer pistas ao john acelera a obtenção dos resultados> a redução do tamanho dos arquivos, reduz o tempo de processamento> existem listas de palavras (dicionários) disponíveis na Internet que podem ser utilizadas como auxílio
Um utilitário do tipo “Brute force” local
Ferramentas GPL para a segurança de Redes de Computadores
John the ripper: formas de utilização no Linux
#john /etc/shadowLoaded 8 passwords with 8 different salts (FreeBSD MD5 [32/32])ovo (ovo)3resu (user3)user22 (user2)1user (user1)guesses: 4 time: 0:00:00:07 8% (2) c/s: 6476 trying: gocougs1guesses: 4 time: 0:00:00:25 33% (2) c/s: 6475 trying: safety6Session aborted
#john - -wordfile=dicionario.lst /etc/shadowLoaded 5 passwords with 5 different salts (FreeBSD MD5 [32/32])mimosa (user4)mimosa (tunia)cachorro (user3)guesses: 3 time: 0:00:00:00 100% c/s: 46.00 trying:
Ferramentas GPL para a segurança de Redes de Computadores
John the ripper: formas de utilização no Windows
Ferramentas GPL para a segurança de Redes de Computadores
Monitor gráfico de rede: EtherApe
Algumas possibilidades:
> visualizar rapidamente o tráfego entre máquinas> visualizar protocolos não autorizados na rede
monitora graficamente a atividade da rede os hosts e os links mudam de tamanho conforme o tráfico os protocolos são mostrados por cores diferentes possui suporte a Ethernet, FDDI, Token Ring, ISDN, PPP e SLIP suporta filtro em relação aos protocolos a serem mostrados pode fornecer o gráfico com endereços IP, nomes ou MAC
Plataformas suportadas:
> Linux> NetBSD> OpenBSD> FreeBSD
Site oficial -> http://etherape.sourceforge.net
Ferramentas GPL para a segurança de Redes de Computadores
O EtherApe
Ferramentas GPL para a segurança de Redes de Computadores
O EtherApe
Ferramentas GPL para a segurança de Redes de Computadores
Backup dos servidores da rede: Bacula
Plataformas suportadas para servidorese clientes:> Linux> Solaris> FreeBSD> MacOS X> True64
software de backup multiplataforma modelo cliente/servidor pode fazer backups para fitas e discos fácil de utilizar
Plataformas suportadasapenas para clientes:
> Win98/Me, WinNT/2K/XP> Windows Servers> OpenBSD> Irix
Site oficial -> http://www.bacula.org
Licenças:
> FDL> GPL> LGPL> Public Domain> Trademark ( o nome Bacula)> FSFE License
Ferramentas GPL para a segurança de Redes de Computadores
Bacula – esquema genérico do servidor
Ferramentas GPL para a segurança de Redes de Computadores
Analisador de protocolos de rede: Ethereal
monitora o tráfego de pacotes na rede ferramenta útil no diagnóstico de problemas suporta atualmente mais de 750 protocolos restrito ao domínio de broadcast disponibiliza os resultados através de uma interface gráfica suporta a aplicação de filtros de captura e/ou display pode analisar arquivos gerados por outros capturadores de pacotes
Site oficial -> http://www.ethereal.com
Plataformas suportadas:
> Win98/Me, WinNT/2K/XP> Windows 2000/2003> OpenBSD> FreeBSD> NetBSD> Linux
Ferramentas GPL para a segurança de Redes de Computadores
A interface do Ethereal
Ferramentas GPL para a segurança de Redes de Computadores
Steganografia: JPHide e JPSeek
permite que arquivos sejam ocultos dentro de imagens
permite que os dados ocultos sejam criptografados (blowfish)
pode ser detectado por ferramentas comerciais de stegoanálise
algumas vezes há incompatibilidade de versões
Site oficial > http://linux01.gwdg.de/~alatham/stego.html
Plataformas suportadas:
> Linux> Win98/Me, WinNT/2K/XP> Windows 2000/2003
Licença:
> Freeware
Ferramentas GPL para a segurança de Redes de Computadores
Utilizando o JPHide e JPSeek
>#jphide input-jpeg-file output-jpeg-file file-to-be-hidden
>#jpseek input-jpeg-file output-hidden-file
Windows
Linux
Ferramentas GPL para a segurança de Redes de Computadores
IDS (Intrusion Prevention and Detection System): snort
Plataformas:> BSD> Linux> Windows
Complementos:> swatch Monitorador de logs. Pode ser programado para tomar certas providências quando certa ocorrência é encontrada em determinada log.
> ACID Analysis Console for Incident Databases. Útil para administrar o snort por interface gráfica.
registra em logs as anomalias encontradas no sistema
detecta uma variedade de ataques como: buffer overflows, scanners furtivos, ataques de CGI varreduras de nmap e outros
Site oficial-> http://www.snort.org
Ferramentas GPL para a segurança de Redes de Computadores
A interface do ACID
Ferramentas GPL para a segurança de Redes de Computadores
Auditoria para redes wireless: Aircrack
suporte aos padrões 802.11(a/b/g)
considerada melhor que o Airsnort
composto por 4 ferramentas: airodump, aireplay, aircrack e airdecap
airodump: utilizado para capturar pacotes 802.11
aireplay: utilizado para injetar pacotes 802.11 (linux)
aircrack: cracker para chaves WEP e WPA-PSK
airdecap: utilizado para decriptar arquivos WEP/WPA
Site oficial > www.aircrackng.org
Plataformas suportadas:
> Linux> Windows
Ferramentas GPL para a segurança de Redes de Computadores
Aircrack em ação
Ferramentas GPL para a segurança de Redes de Computadores
Outra ferramenta para auditoria para redes: dsniff
coleção de ferramentas para auditoria e testes de penetração
dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy monitoram a rede procurando dados (senhas, e-mail, arquivos,...)
arpspoof, dnsspoof e macof facilitam a interceptação do tráfego da rede onde existem switches.
sshmitm e webmitm implementam ataques “monkey-in-the-middle” contra SSH e sessões HTTPS.
Site oficial > http://www.monkey.org/~dugsong/dsniff/
Plataformas suportadas:
> Linux> Windows
Ferramentas GPL para a segurança de Redes de Computadores
Funcionamento do Dsniff
# dsniff -i eth1 dsniff: listening on eth1
A interface gráfica
A linha de comando
Esquema de captura
Ferramentas GPL para a segurança de Redes de Computadores
Privacidade no e-mail: spammimic
ferramenta acessível via browser para esteganografia e criptografia de e-mails
não necessita instalação de cliente
a mensagem de e-mail é camuflada para parecer um spam funciona bem para mensagens curtas
Site oficial > https://www.spammimic.com
Ferramentas GPL para a segurança de Redes de Computadores
https://www.spammimic.com (como utilizar)
Encode -> Encode with as password-> digitar a senha e a mensagem ->Encode
Ferramentas GPL para a segurança de Redes de Computadores
https://www.spammimic.com (como utilizar)
Copiar o texto gerado -> colar o texto no corpo do email -> enviar para o destinatário
Perguntas?
Esta apresenta o estar dispon vel em:çã á íwww.tchelinux.orgwww.pollon.org
Obrigado !!!
Ferramentas GPL para a segurança de Redes de Computadores