Escolar Documentos
Profissional Documentos
Cultura Documentos
o
2 requIsIes
1
r
e
q
u
Is
I
o
2 respostas
1
re
sp
o
sta
1
re
s
p
o
s
t
a
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Ataque de 0oS
Ataque de 0oS (Negao de ServIo) (Negao de ServIo)
Uma mquIna dIspara vrIas requIsIes: Uma mquIna dIspara vrIas requIsIes:
ServIdor ServIdor
www.algumacoIsa.com www.algumacoIsa.com
1
.
0
0
0
.
0
0
0
d
e
r
e
q
u
Is
I
e
s
2 requIsIes
1
r
e
q
u
Is
I
o
1
.
0
0
0
r
e
s
p
o
s
t
a
s
(
lIm
It
e
n
e
s
t
e
c
a
s
o
)
: : : :
:
:
:
:
UsurIos IegtImos fIcam sem resposta !!! UsurIos IegtImos fIcam sem resposta !!!
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Ataque de 00oS
Ataque de 00oS (0oS 0IstrIbudo) (0oS 0IstrIbudo)
ServIdor ServIdor
www.algumacoIsa.com www.algumacoIsa.com
1
r
e
q
u
Is
I
o
:
:
:
:
|quInas InvadIdas utIlIzadas |quInas InvadIdas utIlIzadas
Como "ponte" para o ataque (zumbIs) Como "ponte" para o ataque (zumbIs)
Atacante Atacante
Coordenador do Ataque Coordenador do Ataque
UsurIo LegitImo UsurIo LegitImo
(sem resposta) (sem resposta)
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Atacante invade de fato a mquina alvo e assume o Atacante invade de fato a mquina alvo e assume o
controle da mesma. controle da mesma.
-
Aps o invasor normalmente: Aps o invasor normalmente:
-
Altera os programas bsicos da mquina para disfarar suas Altera os programas bsicos da mquina para disfarar suas
aes dali por diante. aes dali por diante.
- Apaga os registros (logs) de sua presena na mquina. Apaga os registros (logs) de sua presena na mquina.
- Captura senhas e documentos e envia para um e-mail. Captura senhas e documentos e envia para um e-mail.
- Prepara a mquina para servir de ponte para invases a Prepara a mquina para servir de ponte para invases a
outras mquinas. outras mquinas.
-
Ataque baseado em Ataque baseado em ujjer 0verjlow ujjer 0verjlow
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Alguns invasores no tm o interesse em usar a mquina Alguns invasores no tm o interesse em usar a mquina
posteriormente e alteram a sua homepage principal. posteriormente e alteram a sua homepage principal.
-
Esta pichao ( Esta pichao (defacement defacement) utilizada por muitos ) utilizada por muitos
invasores para propaganda pessoal ou de seus grupos. invasores para propaganda pessoal ou de seus grupos.
-
Este tipo de atividade muito comum no Brasil Este tipo de atividade muito comum no Brasil
-
Alguns sites mantm registro e arquivo de pginas Alguns sites mantm registro e arquivo de pginas
pichadas, incentivando esta prtica. pichadas, incentivando esta prtica.
-
A grande maioria dos A grande maioria dos defacers defacers so so script kiddies script kiddies (fazem (fazem
uso de programas prontos) uso de programas prontos)
-
Ataque baseado em Ataque baseado em ujjer 0verjlow ujjer 0verjlow
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
0ejacements
0ejacements
(pIchao de homepages) (pIchao de homepages)
Hello WEBMASTER !!!!!!
This page was hacked by CRIME BOY'S
Este site Ioi hackeado pelos CRIME BOY'S
So porque Iui capaz de hackear este site no quer dizer que estou Iazendo algo ILEGAL.
Por que ao inves do governo Iicar se preocupando com as coisas que ando Iazendo, eles no
mandam prender os SAFADOS dos LADRES, os PILANTRAS dos PIRUEIROS que atuam
ilegalmente e os CORRUPTOS que dominam o BRASIL ????????????
SUX COJ
Seus lammer's parem de atropelar os sites hackeados por ns !!!!!
BRASIL Rules...!!!
Brazilian Hacking is 1he Best of the World!!!
by -1 H B 1- (hrb_cboyshotmail.com)
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
0ejacements
0ejacements
(pIchao de homepages) (pIchao de homepages)
Governo f**!!! To muito indignado!!! Com o governo de
Santa Catarina!!! Esse governador filho de uma cadela
e esse presidente mais ainda!!
O pai de uma amiga minha ta f****** e mal pago!!
Devendo um monte vai perder o emprego e naum sabe nem onde vai
trabalhar!!! Mas... assim!!
O governo vende o que nosso pros m****** dos outros pases,
Ai presidente hj eu estava pensando!! Reze pra nunca cruzar minha
frente, pq se isso acontecer!! Eu vou preso mas vou
feliz pq vou matar vc kra!!! hauahuah vou pra cadeia
catando assim:
Hj eu to feliz matei o presidente hauhauahau
HACKED BY
OHB TEAM
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Snjjers
Snjjers
Pode estar Instalado: Pode estar Instalado:
- Na rede (em uma porta de hub por exemplo) Na rede (em uma porta de hub por exemplo)
- Captura todos os pacotes em Captura todos os pacotes em brocdccst brocdccst
- nterface em "modo promiscuo" nterface em "modo promiscuo"
- Quase Impossivel de detectar Quase Impossivel de detectar
- Na mquIna InvadIda Na mquIna InvadIda (prIncIpalmente se for um gateway) (prIncIpalmente se for um gateway)
Programas que capturam e anaIIsam os Programas que capturam e anaIIsam os
pacotes que trafegam na rede pacotes que trafegam na rede
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
ackdoors / Troans
ackdoors / Troans
-
Backdoors Backdoors (portas dos fundos) so portas no convencio- (portas dos fundos) so portas no convencio-
nais abertas em mquinas invadidas executando um nais abertas em mquinas invadidas executando um
servio (servidor) para ser acessado por um programa servio (servidor) para ser acessado por um programa
cliente especfico. cliente especfico.
-
Os Os backdoors backdoors facilitam o retorno do invasor mquina facilitam o retorno do invasor mquina
comprometida. comprometida.
-
Os cavalos de tria ( Os cavalos de tria (trojans trojans) so pequenos programas ) so pequenos programas
(geralmente incorporados a programas legtimos) (geralmente incorporados a programas legtimos)
executados sem o conhecimento do usurio da mquina executados sem o conhecimento do usurio da mquina
alvo para inicializar os alvo para inicializar os backdoors backdoors. .
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
ackdoors / Troans
ackdoors / Troans
- A maioria dos backdoors so detectados pelos antivrus atuais. A maioria dos backdoors so detectados pelos antivrus atuais.
- Se no detectados, um invasor utilizando um cliente especfico Se no detectados, um invasor utilizando um cliente especfico
conecta no servidor instalado e pode realizar na mquina alvo conecta no servidor instalado e pode realizar na mquina alvo
procedimentos como: procedimentos como:
-
Execuo de programas Execuo de programas
- Controle do mouse remoto Controle do mouse remoto
- Controle do teclado remoto Controle do teclado remoto
- Mandar mensagens (pop-up) ao usurio remoto Mandar mensagens (pop-up) ao usurio remoto
- Acionar drive de disquete ou CD-ROM Acionar drive de disquete ou CD-ROM
Os clientes geralmente dispem de interface grfica Os clientes geralmente dispem de interface grfica
e de fcil manuseio (para a alegria dos e de fcil manuseio (para a alegria dos lammers lammers) )
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
ackdoors / Troans
ackdoors / Troans
(WIndows) (WIndows)
-
BackOrifice BackOrifice
-
SubSeven SubSeven
-
Netbus Netbus (originalmente um software de administrao) (originalmente um software de administrao)
Os programas de controle remoto de estaes podem Os programas de controle remoto de estaes podem
ser utilizados (como o Netbus o foi) para este fim. ser utilizados (como o Netbus o foi) para este fim.
Embora, em caso de utilizao para administrao, Embora, em caso de utilizao para administrao,
possam ser configurados para alertar o usurio da possam ser configurados para alertar o usurio da
mquina remota que esto em execuo e indicar mquina remota que esto em execuo e indicar
quando o administrador remoto se conecta. quando o administrador remoto se conecta.
Assim o so o PcAnywhere, o VNC e o SMS Assim o so o PcAnywhere, o VNC e o SMS
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
ackdoors / Troans
ackdoors / Troans
(UnIx) (UnIx)
-
Porta definida normalmente por cada invasor. Porta definida normalmente por cada invasor.
-
Quase sempre utilizam criptografia (SSH). Quase sempre utilizam criptografia (SSH).
-
Aps instalado este servio, geralmente o invasor Aps instalado este servio, geralmente o invasor
corrige o erro que permitiu a invaso ou desativa o corrige o erro que permitiu a invaso ou desativa o
servio para evitar que outros tambm invadam. servio para evitar que outros tambm invadam.
-
Para no levantar suspeitas, utilizam nomes de usurios Para no levantar suspeitas, utilizam nomes de usurios
legtimos da mquina ou utilizam contas de servios legtimos da mquina ou utilizam contas de servios
(dificilmente alteram a senha do superusurio). (dificilmente alteram a senha do superusurio).
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Loy Cleaners
Loy Cleaners
-
Alteram e/ou apagam arquivos de auditorias dos sistemas Alteram e/ou apagam arquivos de auditorias dos sistemas
(arquivos de logs no UNIX ou registros do Event Viewer no Windows) (arquivos de logs no UNIX ou registros do Event Viewer no Windows)
-
Tm por objetivo eliminar todos os registros de conexes Tm por objetivo eliminar todos os registros de conexes
e comandos dados pelo invasor. e comandos dados pelo invasor.
-
Executado normalmente nos procedimentos finais das Executado normalmente nos procedimentos finais das
invases (aps o comprometimento do sistema alvo). invases (aps o comprometimento do sistema alvo).
Ferramentas automatIzadas de Ferramentas automatIzadas de
" "IImpeza de rastros" IImpeza de rastros"
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Os rootkits juntam todas as ferramentas do ps-invaso Os rootkits juntam todas as ferramentas do ps-invaso
em um s conjunto executvel. em um s conjunto executvel.
-
Geralmente executados assim que o invasor adquire o Geralmente executados assim que o invasor adquire o
controle da mquina alvo. controle da mquina alvo.
-
Altera executveis, instala sniffers e apaga logs. Altera executveis, instala sniffers e apaga logs.
-
O chkrootkit (www.chkrootkit.org) uma ferramenta O chkrootkit (www.chkrootkit.org) uma ferramenta
gratuita (brasileira) que detecta a maioria dos rootkits. gratuita (brasileira) que detecta a maioria dos rootkits.
-
Rootkts
Rootkts
Ferramentas automatIzadas para dImInuIr o tempo de Ferramentas automatIzadas para dImInuIr o tempo de
execuo de tarefas "rotIneIras" no processo de Invaso execuo de tarefas "rotIneIras" no processo de Invaso
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
O invasor pega o arquivo de senhas (criptografadas) dos O invasor pega o arquivo de senhas (criptografadas) dos
usurios da mquina invadida. usurios da mquina invadida.
-
Como o algoritmo irreversvel, no d pra aplicar uma Como o algoritmo irreversvel, no d pra aplicar uma
engenharia reversa para descobrir as senhas. engenharia reversa para descobrir as senhas.
-
Mas o algoritmo utilizado para a encriptao da senha Mas o algoritmo utilizado para a encriptao da senha
conhecido. conhecido.
-
Nomes comuns podem ser encriptados com o mesmo Nomes comuns podem ser encriptados com o mesmo
algoritmo e comparados ao arquivo de senhas. algoritmo e comparados ao arquivo de senhas.
-
Password Crackers
Password Crackers
Tambm conhecIdo como o "ataque do dIcIonrIo" Tambm conhecIdo como o "ataque do dIcIonrIo"
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
- Se o teste encrIptado Igual a alguma das senhas Se o teste encrIptado Igual a alguma das senhas
encrIptadas o Invasor descobrIu uma senha !!!! encrIptadas o Invasor descobrIu uma senha !!!!
-
Password Crackers
Password Crackers
Este procedImento de testes foI automatIzado Este procedImento de testes foI automatIzado
0IcIonrIo 0IcIonrIo
AlgorItmo AlgorItmo Fesultado Fesultado
ArquIvo de ArquIvo de
Senhas Senhas
encrIptadas encrIptadas
Comparao Comparao
gual : gual :
Se Se ND ND, repete o teste com proxImo nome , repete o teste com proxImo nome Senhas Senhas
quebradas quebradas
S
I
h
S
I
h
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Password Crackers
Password Crackers
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Password Crackers
Password Crackers
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Ataque de difcil deteco. Ataque de difcil deteco.
-
O atacante instala do O atacante instala do keylogger keylogger e recolhe os resultados e recolhe os resultados
periodicamente ou manda-os via e-mail. periodicamente ou manda-os via e-mail.
-
Mesmo utilizando criptografia no servidor e na estao Mesmo utilizando criptografia no servidor e na estao
as senhas podem ser descobertas (pois so capturadas as senhas podem ser descobertas (pois so capturadas
antes da aplicao receb-las do antes da aplicao receb-las do driver driver do teclado) do teclado)
-
Combatida com o uso de anti- Combatida com o uso de anti-keyloggers keyloggers
-
Alguns altivrus detectam alguns tipos de Alguns altivrus detectam alguns tipos de keyloggers keyloggers
-
Keyloyyers
Keyloyyers
Captura de teclas digitadas diretamente na interrupo do teclado Captura de teclas digitadas diretamente na interrupo do teclado
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Keyloyyers
Keyloyyers
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Keyloyyers
Keyloyyers
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Keyloyyers
Keyloyyers
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Keyloyyers Fscos
Keyloyyers Fscos
Pen test (Entendendo um Processo ntrusivo)
Uma VIso do "HackerIsmo"
Uma VIso do "HackerIsmo"
-
Os Os worms worms atuais encontram servidores vulnerveis e atuais encontram servidores vulnerveis e
os invadem, picham suas pginas e os usam de pontes os invadem, picham suas pginas e os usam de pontes
para infectar outros servidores. para infectar outros servidores.
-
Lion Lion
um dos primeiros com este comportamento um dos primeiros com este comportamento
invaso de servidores MS-IIS invaso de servidores MS-IIS
Pichao de sites contra os EUA e a favor da China Pichao de sites contra os EUA e a favor da China
(episdio do avio americano que caiu em solo chins) (episdio do avio americano que caiu em solo chins)
-
Worms
Worms
At os prprios invasores esto automatizados At os prprios invasores esto automatizados
Pen test (Entendendo um Processo ntrusivo)
Especializao em Computao Forense
E
n
t
e
n
d
e
n
d
o
u
m
E
n
t
e
n
d
e
n
d
o
u
m
P
r
o
c
e
s
s
o
I
n
t
r
u
s
iv
o
P
r
o
c
e
s
s
o
I
n
t
r
u
s
iv
o
Prof. Ricardo Klber
ricardo.galvao@ifrn.edu.br ricardo.galvao@ifrn.edu.br
Varredura de Portas (com Nmap)
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
Especializao em1
23456789A31B3CDEFD
04 Varredura de Portas (com Nmap)
Varredura de Portas (com Nmap)
Verificando Portas e Servios (na prpria mquina)
- Verificando Portas Abertas (Unix)
# netstat -anp | more
(p mostra o PID relacionado)
2 Identificar o PID da porta suspeita
2 Verificar informaes deste processo
# ps aux | grep <PID>
# top
1 Verificando Portas Abertas (Windows)
# netstat -ano | more
(o mostra o PID relacionado)
Varredura de Portas (com Nmap)
Verificando Portas e Servios (Remoto !!??)
- nmap
2 Ferramenta muito utilizada por administradores
(para checar portas abertas em servidores internos)
2 Tambm muito utilizada para sondagens por atacantes
Parmetros mais utilizados:
-sU : Varre somente portas UDP
-sT : Varre somente portas TCP
-sS : Tcnica conhecida como scan half-open
(no efetua uma conexo completamente)
Varredura de Portas (com Nmap)
Portscan com nmap
- nmap
Parmetros mais utilizados (cont.):
-sP : Ping scanning
-O : Tenta identificar qual o S.O. do host destino
-v : Modo verbose apresenta mais detalhes
-p : Determina que portas sero varridas
(pode ser somente uma ou range separado por -)
Varredura de Portas (com Nmap)
Portscan com nmap
- nmap
Exemplos:
# nmap -O 192.168.10.0/24
# nmap -sT -p 20-80 192.168.10.4
# nmap -sS -p 20,21,22,25,80 192.168.11.0/24
# nmap -sU -p 53 192.168.10.1
Varredura de Portas (com Nmap)
Portscan com nmap
- Exercitando
A partir de sua mquina (com nmap instalado)
1) Verifique as portas/servios abertos na prpria mquina
2) Verifique as portas/servios abertos na mquina de um colega
3) Verifique as portas/servios abertos nas mquinas da rede interna
4) Verifique que mquinas da rede interna tm o servio SSH disponvel
Varredura de Portas (Prtica)
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
Especializao em1
23456789A31B3CDEFD
05 Varredura de Portas
(Prtica)
Varredura de Portas (Prtica)
Cenrio de Testes :: Preparao
- Cenrio Necessrio para os Testes
Mquina 1
(Ferramentas de
Sondagem e Ataque)
Mquina 2
(Portas/servios disponveis)
(vulnerveis !!??)
Ambiente Controlado (isolado !!??)
Varredura de Portas (Prtica)
- Qual a melhor soluo para simular um ambiente vulnervel?
Um Honeypot !!!
Cenrio de Testes :: Preparao
Varredura de Portas (Prtica)
Cenrio de Testes :: Preparao
- Mquinas e Softwares
Mquina 1
S.O. Linux
Portscan (Nmap)
Mquina 2
S.O. Windows
Honeypot (Valhala)
Ambiente Controlado (isolado !!??)
Varredura de Portas (Prtica)
Cenrio de Testes :: Preparao
- Honeypot Valhala
Caractersticas:
1
Honeypot de Baixa Interatividade
1
Totalmente em Portugus
1
Desenvolvido em Delphi (com biblioteca sockets)
1
Sistema Operacional Windows
1
Gratuito (desenvolvido para estudo e demonstrao)
1
Fcil de usar (Clicar no boto Monitorar e pronto !!!)
1
Servios (falsos) padres: WEB, FTP, TELNET, SMTP, POP3, FINGER e TFTP
1
Outros padres: Portas de 7 trojans conhecidos:
1
Netbus 1, Netbus 2, WinCrash 1, SubSeven, HackAtack e BackOrifice 2000
1
OBS: Essas portas no permitem interao (somente esto abertas e registram aes)
Varredura de Portas (Prtica)
Nmap x Valhala
- Exercitando
1
Ativar Honeypot Valhala (com portas/servios padres ativos)
1
Fazer o portscan com nmap (todas as portas) para verificar quais
servios/portas esto disponveis
Varredura de Portas (Prtica)
Cenrio de Testes :: Preparao
- Honeypot HoneyBOT
Caractersticas:
1
Honeypot de Baixa Interatividade
1
Sistema Operacional Windows
1
Gratuito (desenvolvido para estudo e demonstrao)
1
Fcil de usar
1
Ativa diversas portas por padro
Varredura de Portas (Prtica)
Nmap x Honeybot
- Exercitando
1
Ativar Honeypot Honeybot (com portas/servios padres ativos)
1
Fazer o portscan com nmap (todas as portas) para verificar quais
servios/portas esto disponveis
Varredura de Portas (Prtica)
Ferramentas :: Nessus
Verso Open Source = OpenVAS
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Caractersticas
1
Possui um conjunto de scripts que so capazes de testar vrias
vulnerabilidades de forma automatizada e simples.
1
Centenas de vulnerabilidades so testadas e, ao final do processo, um
relatrio gerado contendo informaes que podem ser utilizadas para
corrigir o problema e tambm indicando links com informaes mais
completas sobre as falhas encontradas no sistema.
1
Estrutura Cliente/Servidor
1
Simples de instalar e utilizar
1
Verso atual 4.0 (v. 5.0 experimental)
www.openvas.org
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Funcionamento / Configurao
1
Aps instalado o servidor OpenVAS, deve-se configur-lo, atualizar o
banco de dados de plugins e instalar o cliente em uma mquina.
1
O OpenVAS criptografa todo o contedo que transmitido entre o
cliente e o servidor utilizando SSL.
1
Para que isso funcione corretamente, preciso gerar um certificado
no servidor. (script especfico j disponvel na instalao):]
# openvas-mkcert
1
Configura-se a validade do certificado CA, validade do certificado
do servidor, pas (BR), Estado, Cidade e Empresa/Instituio.
www.openvas.org
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Adicionando Usurios
1
Para adicionar usurios no OpenVAS usa-se o comando:
# openvas-adduser
1
O script s permite criar um nico usurio por vez.
1
Informaes:
1
Login: o nome que o usurio ir utilizar para se conectar ao servidor atravs do
cliente;
1
Authentication: mtodo de autenticao do usurio: via certificado ou via senha.
1
Login password: senha utilizada para o usurio se conectar ao servidor
www.openvas.org
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Adicionando Usurios
1
Outras Informaes:
1
Rules set: o controle sobre o que cada usurio pode fazer no OpenVAS bem
interessante. Quando voc cria uma conta, voc deve especificar o que esta conta
poder fazer, como por exemplo, quais hosts ela poder scanear. As regras seguem
esta forma:
1
accept 192.168.0.0/24
1
default deny
1
Quando terminar de definir as regras para o usurio que est sendo criado,
pressione as teclas Ctrl + D.
www.openvas.org
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Atualizando a Base
1
O prximo passo atualizar os scripts que detectam as vulnerabilida-des
nos sistemas analisados.
1
Estes scripts so chamados de NVTs e atualizaes para eles so
disponibilizadas atravs de servios de feed.
1
Os desenvolvedores do OpenVAS disponibilizam um servio de feed
padro para atualizar os NVTs que j so distribudos com o OpenVAS.
1
Durante a atualizao, apenas NVTs novos e modificados sero
baixados para a sua mquina, o que otimiza um pouco o processo.
# openvas-nvt-sync
1
Esse processo demora um pouco para executar, mas no final todos os
plugins estaro atualizados e novos NVTs tero sido adicionados ao
banco de dados.
www.openvas.org
Varredura de Portas (Prtica)
Resposta a Incidentes de Segurana
OpenVAS (Open Vulnerability Assessment System)
Executando o Cliente
1
Toda a ao do OpenVAS acontece no lado do cliente! l que
definido o host que ser analisado, quais NVTs sero executados o
relatrio.
1
Para executar o cliente, executa-se o comando:
# openvas-client
www.openvas.org
Especializao em
Computao Forense
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com.br
ricardo.galvao@ifrn.edu.br
06 Honeypots (Viso Geral)
Especializao em1
23456789A31B3CDEFD
Honeypots } Honeynets
Honeypots } Honeynets
Para se defender do inimigo, primeiro
preciso conhecer o inimigo, ou seja,
conhecer seus mtodos de ataque, suas
ferramentas, tticas e objetivos.
(Autor Desconhecdo) (Autor Desconhecdo)
O sbio aprende muitas coisas com seus
inimigos.
ARISTOFANES ARISTOFANES
- Honeypot sIgnIfIca "pote de mel" um recurso
de segurana crIado para ser sondado, atacado e
comprometIdo.
Honeypots } Honeynets
Honeypots } Honeynets
Finalidades dos Honeypots
Finalidades dos Honeypots
- Coleta de codIgos malIcIosos
- dentIfIcar varreduras e ataques
- Acompanhamento das vulnerabIlIdades
- 0escobrIr as motIvaes dos atacantes
- AuxilIo aos sIstemas de deteco de Intruso
- |anter atacantes afastados de sIstemas Importantes
Esquema Bsico de um Honeypot
Esquema Bsico de um Honeypot
|quIna da Fede CorporatIva preparada exclusIvamente
para o estudo de aes IntrusIvas em caso de ataques
Tipos de Honeypots
Tipos de Honeypots
- Honeypot de produo: Servem para dIstraIr
atIvIdades malIcIosas de mquInas da rede ou como
mecanIsmo de alerta na rede de computadores.
- Honeypot de pesquIsa: Servem para monItorar e
estudar os comportamento dos atacantes.
Vantagens do Uso de Honeypots
Vantagens do Uso de Honeypots
- Como o Honeypot isolado, o fluxo de informaes para
anlise pequeno comparado com o fluxo de uma rede de
produo;
- acaba com os falsos alertas gerados pelos sistemas de
deteco de intrusos;
- Firewall e IDS no so sobrecarregados com grande trfego;
- exigncia de recursos mnimos;
- captura trfego encriptado;
- descoberta de novas ferramentas e tticas dos hackers
Honeypots :: Niveis de lnterao
Honeypots :: Niveis de lnterao
- Nivel de atIvIdade que o 123456278permIte ao
atacante:
- Honeypots de baIxa Interao
- Honeypots de alta Interao
Honeypots de Baixa lnterao
Honeypots de Baixa lnterao
- apenas emulam servios e sistemas operacionais;
- fcil instalao;
- riscos mnimos;
- quantias de capturas de informaes limitadas;
- fcil descoberta por hackers qualificados
Honeypots de Alta lnterao
Honeypots de Alta lnterao
- sistemas operacionais e servios reais;
- permite capturar mais informaes;
- instalao mais complexa;
- risco maior
Os honeypots de produo normalmente tm um nvel Os honeypots de produo normalmente tm um nvel
baixo de interao, e de pesquisas tm um alto nvel. baixo de interao, e de pesquisas tm um alto nvel.
Honeypots :: Niveis de lnterao
Honeypots :: Niveis de lnterao
Difcil de distingir de um
sistema de produo
Difceis de iludir atacantes
avanados/determinados
Captura de mais
informaes, incluindo
ferramentas e comandos
Aes limitadas,
captura de trfego
Controle total Atacante no tem controle
Cuidados na instalao e
configurao.
Simples.
Fcil gerenciamento
Executam as verses reais Emulam sistemas e servios
AIta InteratIvIdade AIta InteratIvIdade aIxa InteratIvIdade aIxa InteratIvIdade
Localizao de um Honeypot
Localizao de um Honeypot
Legalidade dos Honeypots
Legalidade dos Honeypots
- NecessrIo consIderar trs pontos:
- ArmadIlha;
- PrIvacIdade;
- FesponsabIlIdade
Legalidade dos Honeypots
Legalidade dos Honeypots
- Armadilha:
- Coagir ou induzir algum a fazer algo que normalmente
no faria, ou seja, instigar a prtica de um delito, pode
acarretar processo judicial.
- honeypot no induz ningum, at porque muitas vezes
uma emulao do sistema de produo da empresa;
- os ataques so por iniciativa do invasor;
- os honeypots no esto sendo usados para processar
ningum, e sim como meio para novas descobertas.
Legalidade dos Honeypots
Legalidade dos Honeypots
- PrIvacIdade:
- o sIstema que o atacante est usando no pertence a ele,
portanto toda monItorao realIzada no sIstema no pode
caracterIzar quebra de prIvacIdade.
- FesponsabIlIdade
- se o 123456278for comprometIdo e utIlIzado para
prejudIcar outras redes pode acarretar processo cIvIl.
Honeynets
Honeynets
No um sIstema unIco,
mas sIm uma rede de sIstemas e aplIcatIvos
multIplos, projetada para ser
comprometIda e observada
D Honeynet Project foI Ianado em 1
http:llwww.honeynet.org
Honeynets
Honeynets
- uma rede altamente controlada
(todo pacote que entra ou deIxa a honeynet
monItorado, capturado, e analIsado).
- Qualquer trfego que entra ou deIxa a Honeynet
suspeIto por natureza.
- 923453478 um conjunto de 12345627A8de alta
Interao, utIlIzados prIncIpalmente para pesquIsa.
Honeynets :: Exemplo
Honeynets :: Exemplo
- crIado um ambIente
que reflete uma rede de
produo real;
- Nada feIto para tornar
os sIstemas Inseguros.
Honeynets :: Objetivos
Honeynets :: Objetivos
- Conhecer o InImIgo (8lackhats), suas ferramentas,
suas ttIcas e suas motIvaes;
- Coletar dados e analIsar ferramentas para
aperfeIoamento de sIstemas de deteco de
Intruso;
- Controle das aes IntrusIvas
Honeynets :: Componentes
Honeynets :: Componentes
- Formada por dIversos elementos, dIvIdIdos em:
- Componentes alvos: so os honeypots;
- Componentes de Interconexo e conteno de
fluxo;
- Componentes de captura, armazenamento e
anlIse
- Poteador: componente de Interconexo que tem
por funo decIdIr qual o camInho que os pacotes
que lhe so envIados devero seguIr
- FIrewaII: componente de conteno de fluxo de
dados que separa, restrInge e analIsa datagramas
P que passam por ele.
Honeynets :: Componentes
Honeynets :: Componentes
- SIstemas de 0eteco de Intruso (S0 ou 0S):
componente de captura e anlIse de fluxo de dados,
auxIlIando na monItorao do trfego da rede.
- Logserver: componente de armazenamento.
Seus regIstros possuem Informaes sobre os eventos
ocorrIdos, possIbIlItando verIfIcao ou anlIse.
Honeynets :: Componentes
Honeynets :: Componentes
- ImportncIa dos Iogs:
- Fornecem uma vIso das atIvIdades que esto
ocorrendo nos sIstemas;
- Podem fornecer dados para anlIses de deteco
de problemas ou falhas de segurana nos
sIstemas;
- Podem ser utIlIzados como evIdncIas de um
IncIdente de segurana.
Honeynets :: Componentes
Honeynets :: Componentes
Exemplo de envIo de logs de audItorIa para o Logserver
Honeynets :: Componentes
Honeynets :: Componentes
Honeynets :: Funcionamento
Honeynets :: Funcionamento
- Tornar a rede atIva:
- CrIar contas de usurIos;
- EnvIar emaIls entre eles;
- Forjar documentos em alguns dIretorIos;
- UtIlIzar FTP ou TELNET;
- UtIlIzar alguns comandos que sero armazenados
em hIstorIco
Honeynets :: Controle de Dados
Honeynets :: Controle de Dados
- o fluxo de trfego deve ser controlado;
- o controle de acesso obtIdo com a utIlIzao de um fIrewall
InvIsivel;
- necessrIo defInIr que qualquer conexo da nternet para a
123453478 autorIzada;
- que toda conexo de um 123456278para nternet controlada;
- a 123453478e a rede admInIstratIva no possuem nenhum tIpo
de comunIcao dIreta.
Honeynets :: Controle de Dados
Honeynets :: Controle de Dados
- Quanto maIs atIvIdade permItIr, maIor o rIsco e tambm o
potencIal de aprender;
- LImItando as conexes em casos de ataques a outros sIstemas
os Invasores podero desconfIar;
- 0eve conter um sIstema antIspoofIng (evItar 0oS);
- Ceralmente utIlIzase um roteador entre o FIrewall e a
Honeynet
Honeynets :: Captura de Dados
Honeynets :: Captura de Dados
- Todas as atIvIdades dos atacantes na 123453478
devem ser regIstradas e capturadas para posterIor
anlIse;
- Ds dados capturados no devem ser armazenados
localmente (mandar para o Logserver)
Honeynets :: Estrutura
Honeynets :: Estrutura
Honeynets :: Tipos
Honeynets :: Tipos
- CIssIca:
- Composta por sIstemas reaIs (fisIcos)
- nstalaes especifIcas;
- SIstemas operacIonaIs varIados e Independentes
Honeynet Clssica
Honeynet Clssica
Honeynet Clssica
Honeynet Clssica
- Vantagens:
- Dispositivos reais;
- Mais segurana pela descentralizao dos
honeypots
- Desvantagens:
- Custo elevado;
- Dificuldades na instalao e administrao;
- Complexidade para manuteno;
- Espao alocado muito grande;
Honeynets :: Tipos
Honeynets :: Tipos
- VIrtuaI:
- Composta por Honeypots vIrtuaIs (mquInas
vIrtuaIs);
- Uso de emuladores;
- Todo ambIente composto por uma unIca mquIna
(sIstemas operacIonaIs emulados)
Honeynet Virtual
Honeynet Virtual
Honeynet Virtual
Honeynet Virtual
- Vantagens:
- custo reduzIdo;
- gerencIamento facIlItado;
- facIlIdade na Instalao e admInIstrao;
- menor gasto de energIa eltrIca, devIdo menor
quantIdade de mquInas utIlIzadas
- 0esvantagens:
- lImItao nos tIpos de sIstemas operacIonaIs oferecIdos
pelos softwares de vIrtualIzao;
- possIbIlIdade de comprometImento do software de
vIrtualIzao;
- InstabIlIdade pelo uso exaustIvo de memorIa
Honeynet Virtual :: Exemplo
Honeynet Virtual :: Exemplo
- Specter:
- Instalado em um unIco equIpamento.
- Podem ser emulados at 14 SIstemas
DperacIonaIs dIferentes.
Brazilian Honeypots
Brazilian Honeypots
Alliance
Alliance
Honeynet.BR
Honeynet.BR
- DrganIzao mantIda por NPE e pelo CEFT.8F
- nicIo em dezembro de 2001 e operao em maro de 2002
- Em junho de 2002, o projeto Honeynet.8F foI adIcIonado a
Honeynet Fesearch AllIance
www.honeynet.org.br
Honeynet.BR
Honeynet.BR
- SO OpenBSD
- Mecanismos de conteno
e gerao de alertas foram
desenvolvidos por
membros do projeto.
- Projeto detectou que
grande parte de ataques
so executados atravs de
worms automatizados.
Honeynets :: Concluses
Honeynets :: Concluses
- 92345627A84892345347A8so recursos de segurana
planejados para serem comprometIdos, com o objetIvo de
estudar os ataques e os atacantes, suas tcnIcas, motIvos e
ferramentas utIlIzadas; podem ser utIlIzados tambm para
desvIar a ateno dos destInos reaIs.
- Embora sejam de grande valor, os 12345627A84812345347A8
no devem substItuIr nenhuma tcnIca de segurana atIva
na rede de uma empresa.
Firewall Linux Netfiliter/Iptables
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
07 - Firewall Linx Netfilter/Iptables
Especializao em1
23456789A31B3CDEFD
Firewall Linux Netfiliter/Iptables
Contextualizando...
Relembrando a Pilha TCP/IP
aplicao
transporte
rede
enlace
fsica
aplicao
transporte
rede
enlace
fsica
Origem Destino
M
M
M
M
M
M
M
M
mensagem
segmento
datagrama
quadro
Ct
Ct
Ct Cr
Cr
Ce
OBS: A camada fsica no especificada no TCP/IP
Ca
Ca
Ca
Ca
Ct
Ct
Ct Cr
Cr
Ce
Ca
Ca
Ca
Ca
Firewall Linux Netfiliter/Iptables
A Camada de Rede
O Datagrama IP (Internet Protocol)
ver
lenght
32 bits
data
(tamanho varivel ,
tipicamente um segmento
TCP ou UDP)
16-bit identifier
nternet
checksum
time to
live
Endereo IP de origem
verso do Protocolo P
tamanho do cabealho
(bytes)
nmero mximo
de saltos
(decrementado em
cada roteador)
para
fragmentao / remontagem
tamanho total
do datagrama
(bytes)
Protocolo da camada
superior com dados no
datagrama
head.
len
type of
service
Classe de servio flgs
fragment
offset
proto
coIo
Endereo IP de destino
Opes (se houverem) Ex. timestamp,
registro de rota
lista de roteadores a visitar.
Contextualizando...
Firewall Linux Netfiliter/Iptables
porta origem porta destino
32 bits
dados de aplicao
(mensagem)
outros campos de cabealho
TCP
ou
UDP
A Camada de Transporte
Contextualizando...
Firewall Linux Netfiliter/Iptables
A Camada de Transporte
O Segmento UDP
porta origem porta destino
32 bits
Dados de Aplicao
(mensagem)
tamanho checksum
Tamanho, em bytes do
segmento UDP,
ncluindo cabealho
Contextualizando...
Firewall Linux Netfiliter/Iptables
A Camada de Transporte
O Segmento TCP
porta origem porta destino
32 bits
dados de aplicao
(tamanho varivel)
nmero de seqncia
nmero de reconhecimento
janela de recep.
dados urgentes checksum
F S R P A U
tam.
no
usado
Opes (tamanho varivel)
URG: dados urgentes
ACK: campo de ACK
vlido
PSH: fora o envio
imediato de dados
RST, SYN, FN:
estabelec. de conexo
(flags de
criao e trmino)
nmero de bytes
receptor est
pronto para
aceitar
sincronizao
transmisso/
recepo
nternet
checksum
(como no UDP)
Contextualizando...
Firewall Linux Netfiliter/Iptables
A Camada de Transporte
Portas de Acesso
1
Os protocolos de transporte (TCP e UDP) disponibilizam 65.536 (2
16
) portas
para estabelecimento de conexo
1 Servidores (uso de portas 2 1024)
Servios especficos Portas Especficas
1 Clientes (uso de portas > 1024)
- FTP = 21/TCP
- Telnet = 23/TCP
- SMTP = 25/TCP
- DNS = 53/TCP e 53/UDP
- HTTP = 80/TCP
- POP3 = 110/TCP
Contextualizando...
Firewall Linux Netfiliter/Iptables
Sockets
Conjunto de informaes que caracterizam cada pacote
como nico (base para identificao de sesses no TCP/IP):
Transporte + IP
Endereo IP de Origem / Porta de Origem
Endereo IP de Destino / Porta de Destino
Protocolo
OBS1.: Os dados Endereo IP de Origem, Endereo de Destino e Protocolo so
retirados do cabealho IP
OBS2.: Os dados Porta de Origem e Porta de Destino so retirados do cabealho TCP
Contextualizando...
Firewall Linux Netfiliter/Iptables
Sockets
version(4) header length (4) TOS (8) total length (16)
identification (16) flags (3) fragment offset (13)
TTL (8)
protocol (8)
header checksum (16)
source address (32)
destination address (32)
options (if any)
source port (16) destination port (16)
sequence number (32)
acknowledgment number (32)
header length (4) reserved (6) flags (6) window size (16)
TCP checksum (16) urgent pointer (16)
options (if any)
Cabealho
IP
Cabealho
TCP
Contextualizando...
Firewall Linux Netfiliter/Iptables
Roteamento
1232
4
Roteador
1232
5
Pacotes Pacotes
Firewall Linux Netfiliter/Iptables
Usando Firewalls possivel...
3 ... monitorar (e bloquear) trfegos especficos (de/para a rede
interna ou externa)
3 ... gravar registros de acessos de/para equipamentos internos e
externos
3 ... limitar a exposio de equipamentos da rede interna
Firewall Linux Netfiliter/Iptables
Usando Firewalls NO possivel...
3 ... proteger equipamentos da rede interna de usurios internos
3 ... garantir 100% de segurana no acesso entre redes
3 ... garantir a segurana de protocolos inseguros
Firewall Linux Netfiliter/Iptables
Firewalls (Configurao Padro)
Firewall Linux Netfiliter/Iptables
Firewalls (Filtragem de Pacotes)
Rede
Externa
Firewall
Rede
Interna
Pacotes Pacotes
Firewall Linux Netfiliter/Iptables
Firewalls (Filtragem de Pacotes)
Firewall
1232
5
1232
4
Pacotes Pacotes
Firewall Linux Netfiliter/Iptables
Firewalls e a Camada de Rede
Endereo IP de Origem
Endereo IP de Destino
Bloqueio de Acessos a partir de determinadas mquinas/redes
Bloqueio de Acessos destinados a determinadas mquinas
Elementos de Filtragem
Firewall Linux Netfiliter/Iptables
Firewalls e a Camada de Transporte
Porta de Origem
Porta de Destino
Elementos de Filtragem
Bloqueio de Acessos a determinados servios
(Portas conhecidas = Servios Conhecidos)
Firewall Linux Netfiliter/Iptables
Filtragens No Convencionais
E os demais campos de um segmento TCP?
E a camada de enlace?
Filtrando Outras Camadas e/ou Campos
E a camada de aplicao?
Filtragens especficas utilizando Extenses do Iptables
Firewall Linux Netfiliter/Iptables
Implementando Firewalls Linux
Firewall Linux Netfiliter/Iptables
Histrico
1994 :: o ipfw (BSD) foi portado para o Linux
1996 :: ipfwadm (Kernel 2.0.x)
1998 :: ipchains (Kernel 2.2.x)
1999 :: iptables (Kernel 2.4.x)
Evoluo dos Firewalls Linux
Firewall Linux Netfiliter/Iptables
Listas de Regras (Chains)
Entrada
Deciso de
Roteamento FORWARD
Sada
INPUT
Processamento
Local
OUTPUT
Firewalls Linux :: Funcionamento Interno
Firewall Linux Netfiliter/Iptables
Filtragem Bsica :: Filtro de Pacotes
Realizam a filtragem de pacotes baseados nos dados:
6 endereo/porta de origem;
6 endereo/porta de destino;
6 protocolo;
6 ao (BLOQUEAR ou ACEITAR).
Firewalls no Linux
Firewall Linux Netfiliter/Iptables
Bloqueio de pacotes
O Ipfwadm utiliza o DENY
O Ipchains utiliza o DENY ou REJECT
O Iptables utiliza o REJECT ou o DROP
REJECT :: Descarta e envia um ICMP Origem
DROP :: Descarta sem notificar Origem
O Reject entrou em desuso e hoje considerado opcional
Firewalls no Linux :: Aes
Firewall Linux Netfiliter/Iptables
Pacotes destinados ao prprio firewall
1232
Pacotes
Regras
INPUT
Accept ?
Reject ?
Drop ?
Firewalls no Linux :: Regras INPUT
Firewall Linux Netfiliter/Iptables
Pacotes originados no firewall
1232
Pacotes
Accept ?
Reject ? Drop ?
Regras
OUTPUT
Firewalls no Linux :: Regras OUTPUT
Firewall Linux Netfiliter/Iptables
1232
Pacotes
Accept ?
Reject ?
Drop ?
Gateway
Mquina
Interna
Regras
FORWARD
Repasse de Pacotes
Firewalls no Linux :: Regras FORWARD
Firewall Linux Netfiliter/Iptables
Desde o Ipchains possvel...
Criar/Alterar/Remover novas Chains
Inserir sub-regras especficas
Desviar trfegos especficos para filtros especficos
Criao de Novas Chains
Firewall Linux Netfiliter/Iptables
Criao de Novas Chains
Pacotes
Filtro
Porta
X
Porta
Y Pacotes
destinados a
outras portas
Regras
Especficas
Regras
Especficas
Chains Default
Chains
definidas
pelo usurio
DROP ?
DROP ?
ACCEPT ?
ACCEPT ?
Firewall Linux Netfiliter/Iptables
Criao de Novas Chains
enefcIos
enefcIos
Alvio no trfego Alvio no trfego
No implementado por todos os desenvolvedores No implementado por todos os desenvolvedores
Possibilidade de criao de grupos para sumarizao de Possibilidade de criao de grupos para sumarizao de
regras regras
Firewall Linux Netfiliter/Iptables
SIntaxe sIca
SIntaxe sIca
-A Acrescenta uma nova regra a uma chain
-I nsere uma nova regra no incio da lista
-D <pos> Apaga uma regra em uma posio especfica
-D <regra> Apaga a primeira regra que coincidir
-L Lista as regras de uma chain
-j Ao (bloquear [DROP] ou aceitar [ACCEPT]?)
(Basicamente, os parmetros A e D so os mais utilizados)
Manipulando Regras Iptables
Firewall Linux Netfiliter/Iptables
SIntaxe sIca
SIntaxe sIca
-A FORWARD Regra de Forward
-A INPUT Regra de nput
-A OUTPUT Regra de Output
Manipulando Regras Iptables
Firewall Linux Netfiliter/Iptables
PrIncIpaIs Dperaes
PrIncIpaIs Dperaes
-N Cria uma nova chain
-X Deleta uma chain (vazia)
-P Muda as regras para uma chain padro
-F Apaga (flush) as regras de uma chain
Manipulando Regras Iptables
Firewall Linux Netfiliter/Iptables
Habilitando o Repasse de Pacotes
Para roteamento e uso do FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward
Manipulando Regras Iptables
Firewall Linux Netfiliter/Iptables
0efInIndo as PoItIcas 0efauIt
0efInIndo as PoItIcas 0efauIt
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Iptables -P FORWARD DROP
Tudo o que no for expressamente permitido proibido
ou
Tudo o que no for expressamente proibido permitido
Manipulando Regras Iptables
Firewall Linux Netfiliter/Iptables
Definindo Protocolo para a Regra:
-p :: protocolo [tcp, udp, icmp...]
Definindo Porta Especfica (servio) para a Regra:
--sport :: source port (porta de origem)
--dport :: destination port (porta de destino)
Outros Parmetros para Regras Iptables
Firewall Linux Netfiliter/Iptables
1
Firewall no servio (no tem nmero de processo)
1
Firewall atua diretamente no kernel (no sobre ele)
1
O Netfilter/Iptables vem instalado por padro nas principais
distribuies Linux
1
Antes de inserir novas regras no firewall, observar as regras
ativas (se necessrio realizar um flush antes de aplicar)
1
Um reboot na mquina no preserva as regras inseridas (ideal
utilizar shell script para ativar regras na inicializao)
Antes de Praticar... Importante !!!
Firewall Linux Netfiliter/Iptables
Hora de Praticar para Fixar
Prtica com cenrios bsicos para
Firewalls Linux Padres
(shell scripts)
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Situao Desejada
1
Regras no prprio servidor
1
Limpar regras pr-existentes
1
Liberar acesso Web ao Servidor
1
Bloquear acesso a outros servios baseados em TCP
1
Bloquear pings
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Dicas para Implementao
1
Regras no prprio servidor
1
Usar chain INPUT
1
Limpar (flush) regras pr-existentes
1
iptables -F
1
Liberar acesso Web ao Servidor
1
Acessos porta 80/TCP? OK!
1
Bloquear acesso a outros servios baseados em TCP
1
Acessos s demais portas TCP? Bloquear
1
Bloquear pings
1
Pacotes ICMP? Bloquear!
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Script para Implementao
#!/bin/sh
iptables -F
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP
Para visualizar as regras de filtragem ativas:
iptables -L
Firewall Linux Netfiliter/Iptables
Firewall Linux Situao Desejada
1
Regras no firewall entre redes
1
Limpar regras pr-existentes
1
Liberar acesso aos Servidores Web (na rede interna)
1
Bloquear acesso a outros servios baseados em TCP (na rede interna)
1
Bloquear pings (na rede interna e no prprio firewall)
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Dicas para Implementao
1
Regras no firewall entre redes
1
Usar chain FORWARD e habilitar roteamento
1
Limpar (flush) regras pr-existentes
1
iptables -F
1
Liberar acesso aos Servidores Web (na rede interna)
1
Acessos porta 80/TCP? OK!
1
Bloquear acesso a outros servios baseados em TCP (na rede interna)
1
Acessos s demais portas TCP? Bloquear
1
Bloquear pings (na rede interna e no prprio firewall)
1
Pacotes ICMP? Bloquear! [INPUT e FORWARD]
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Script para Implementao
#!/bin/sh
echo 1>/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP
iptables -A FORWARD -p icmp -j DROP
Firewall Linux Netfiliter/Iptables
Definindo Origem e/ou Destino da Regra:
-s :: source (origem) [mquina ou rede]
-d :: destination (destino) [mquina ou rede]
Definindo Interface de Entrada ou Sada:
-i :: interface de entrada (in)
-o :: interface de sada (out)
Outros Parmetros para Regras Iptables
Firewall Linux Netfiliter/Iptables
1
O LOG no Iptables foi modularizado para ser flexvel
1
Modo padro de uso: regra -j LOG
1
Registra nos LOGs do Linux quando regra coincidir
1
Personalizao mais importante: --log-prefix
-j LOG --log-prefix 'Texto para gravar nos Logs'
1
Exemplo: Bloquear e logar pings (pacotes ICMP):
iptables -A INPUT -p icmp -j LOG --log-prefix '[Ping Bloqueado]'
iptables -A INPUT -p icmp -j DROP
Firewall Linux :: O Alvo LOG
Firewall Linux Netfiliter/Iptables
1
Intervalo Sequencial de Portas:
4 iptables -A FORWARD -p tcp --dport 1:1024 -j ACCEPT
1
Portas no sequenciais (at 15 por regra):
4 iptables -A FORWARD -p tcp -m multiport --dport
21,22,25,80,110,143 -j ACCEPT
Firewall Linux :: Mltiplas Portas
Firewall Linux Netfiliter/Iptables
NAT = Network Address Translation
NAT = Network Address Translation
Converso de endereos de origem
Converso de endereos de destino
Redirecionamento de portas
Mascaramento
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Firewalls no Linux
Chains Padro
Chains Padro
PREROUTING
POSTROUTING
OUTPUT
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
NAT 1:N Mascara N endereos privados em 1
endereo pblico
NAT 1:1 Permite acesso a uma mquina interna
convertendo seu endereo interno em
um endereo pblico para acesso externo
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Chain POSTROUTING
Chain POSTROUTING
Mascaramento N:1
Uso do alvo MASQUERADE
iptables -t nat -A POSTROUTING
-s origem
-o interface de sada
-j MASQUERADE
Ex.: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Geralmente mascara toda uma rede interna
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Chain POSTROUTING
Chain POSTROUTING
Modificao de endereo de origem SNAT
Utilizada no trfego de sada (-o interface)
iptables -t nat -A POSTROUTING
-s origem
-o interface de sada
-j SNAT --to origem mascarada
Procedimentos depois do roteamento (mascaramento)
Ex.: iptables -t nat -A POSTROUTING -s 10.1.2.3 -o eth0 \
-j SNAT --to 200.1.2.3
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Chain PREROUTING
Chain PREROUTING
Modificao de endereo de destino DNAT
Utilizada no trfego de entrada (-i interface)
iptables -t nat -A PREROUTING
-d destino
-i interface de entrada
-j DNAT --to destino real
Procedimentos antes do roteamento
Ex.: iptables -t nat -A PREROUTING -d 200.1.2.3 -i eth0 \
-j DNAT --to 10.1.2.3
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Chain PREROUTING
Chain PREROUTING
Tambm utilizada para Redirecionar portas
Bastante utilizada para Proxy Transparente
Ex.: iptables -t nat -A PREROUTING -p tcp --dport 80 \
-j REDIRECT --to-port 3128
Firewall Linux :: Iptables :: A Tabela NAT
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables
Firewall Linux Netfiliter/Iptables
Caractersticas
Caractersticas
Arquivo de configurao (.fwb)
Gerao de Scripts para Firewalls Diversos
Permite criao de grupos de hosts ou servios
Comentrios so inseridos nos scripts
Uso de sub-chains
Cliente para Windows ou Linux (www.fwbuilder.org)
Firewall Builder
Frontend Grfico para o Iptables
Firewall Linux Netfiliter/Iptables
Criao do Objeto Firewall e Interfaces
Firewall Builder
Frontend Grfico para o Iptables :: Configurao Inicial
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Firewall Settings
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Firewall Settings
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Firewall Settings
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Host OS Settings
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Host OS Settings
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Interface Interna
Firewall Linux Netfiliter/Iptables
Firewall Builder
Frontend Grfico para o Iptables :: Interface Externa
Firewall Linux Netfiliter/Iptables
Objetos (Objects)
Objetos (Objects)
Endereos IP (Addresses)
Faixas de Endereos
(Address Ranges)
Grupos (Groups)
Hosts
Networks (Redes)
Firewall Builder
Frontend Grfico para o Iptables :: Objetos
Firewall Linux Netfiliter/Iptables
Regras para cada interface de rede
Regras para todas as interfaces (Policy)
Regras de Mascaramento (NAT)
Firewall Builder
Frontend Grfico para o Iptables :: Regras
Firewall Linux Netfiliter/Iptables
Drag-and-Drop
Firewall Builder
Frontend Grfico para o Iptables :: Inserindo Regras
Firewall Linux Netfiliter/Iptables
Origem / Destino [Source / Destination]
Servio (porta) [Service]
Aco (Aceitar ou Negar) [Action]
Opes (Ativar Log ou no) [Options]
Comment (comentrio sobre a regra)
Firewall Builder
Frontend Grfico para o Iptables :: Inserindo Regras
Firewall Linux Netfiliter/Iptables
Servios (Services)
Servios (Services)
IP
ICMP
TCP
UDP
Grupos (Groups)
Firewall Builder
Frontend Grfico para o Iptables :: Servios
Firewall Linux Netfiliter/Iptables
Standard
Standard
Servios Padro
Read-Only
Outros servios
Hosts/Redes Personalizados
Grupos (Groups)
User
User
Firewall Builder
Frontend Grfico para o Iptables
Especializao em Computao Forense
S
is
t
e
m
a
s
d
e
D
e
t
e
c
o
S
is
t
e
m
a
s
d
e
D
e
t
e
c
o
d
e
I
n
t
r
u
s
e
s
(
I
D
S
)
d
e
I
n
t
r
u
s
e
s
(
I
D
S
)
Prof. Ricardo Klber
ricardo.galvao@ifrn.edu.br ricardo.galvao@ifrn.edu.br
Preveno de FaIhas
- FIrewalls
- CrIptografIa
- PolitIca de Segurana
Processos de Segurana
Processos de Segurana
0eteco de FaIhas
- AnlIse de logs
- AnlIse de ntegrIdade
- SIstemas de 0eteco de Intruses (I0S) SIstemas de 0eteco de Intruses (I0S)
Pesposta
- NotIfIcao aos admInIstradores da rede orIgem
- FestrIes de acesso (fIrewall)
Hacker
Espio
Terrorista
Atacante
Corporativo
Criminoso
Profissional
Vndalo
Voyeur
Atacantes
Ataque
fsico
Troca de
nformao
Comando
de Usurio
Script ou
Programa
Agente
Autnomo
Toolkit
Ferramenta
Distribuda
Ferramenta
nterceptao
de dados
Projeto
mplementao
Configurao
VuInerabiIidade
Probe
Varredura
Flood
Autenticao
Desvio
Spoof
Leitura
Ao
Cpia
Conta
Processo
Dado
Componente
Computador
Rede
nter-rede
AIvo
Acesso
Ampliado
Revelao de
nformao
nformao
Corrompida
Negao de
Servio
Roubo de
Recursos
ResuItado
Autorizado
Desafio,
status
Ganho
Poltico
Ganho
Financeiro
Dano
Objetivos
Roubo
Modificao
evento
ataque(s)
incidente
Processos de Segurana
Processos de Segurana
Sistema de Deteco de Intruses
Sistema de Deteco de Intruses
Intruso
- uso inapropriado de um sistema de informao
- aes tomadas para comprometer a
privacidade, integridade ou a disponibilidade de
dados em um host ou rede de computadores
0eteco de Intruso
Tarefa de coletar e analisar eventos, buscando
sinais de intruso e/ou de mau-uso, gerando
alertas quando estes sinais so encontrados
aseado em Pede (NI0S)
Colocado estrategicamente em segmentos de rede
para capturar o trfego com destino a
determinados alvos e interpret-los segundo o
mtodo implementado
Tipos de IDS (segundo a arquitetura)
Tipos de IDS (segundo a arquitetura)
1
Dados analisados so retirados da rede Dados analisados so retirados da rede
1
Possibilita identificar e tratar ataques prpria rede Possibilita identificar e tratar ataques prpria rede
1
Permite determinar as operaes desencadeadas atravs da rede Permite determinar as operaes desencadeadas atravs da rede
1
Informaes como: Informaes como:
1
pacotes de rede (cabealhos e dados) pacotes de rede (cabealhos e dados)
1
estatsticas de trfego estatsticas de trfego
1
SNMP SNMP
Tipos de IDS (segundo a arquitetura)
Tipos de IDS (segundo a arquitetura)
aseado em Host (HI0S)
Instalado diretamente nas mquinas que se deseja
investigar, analisando, tambm, integridade de
arquivos e contedo de logs
1
Dados obtidos na prpria mquina Dados obtidos na prpria mquina
1
Deteco de ataques relacionados a aes locais Deteco de ataques relacionados a aes locais
1
Ex: ataques de fora bruta, cpias de arquivos Ex: ataques de fora bruta, cpias de arquivos
1
IDSs baseados em aplicao IDSs baseados em aplicao
Vantagens
1
deteco de ataques externos deteco de ataques externos
1
facdade de nstaao e manuteno facdade de nstaao e manuteno
1
nterfernca mnma (nua) no desempenho nterfernca mnma (nua) no desempenho
1
ndependnca de pataforma ndependnca de pataforma
IDS Baseados em Rede (NIDS)
IDS Baseados em Rede (NIDS)
0esvantagens
1
tratamento de redes de ata veocdade tratamento de redes de ata veocdade
1
dependnca de rede dependnca de rede
1
dfcudade de reao dfcudade de reao
Vantagens
1
independncia de rede independncia de rede
1
deteco de ataques internos / abusos de privilgios deteco de ataques internos / abusos de privilgios
1
maior capacidade de confinamento/avaliao de danos e maior capacidade de confinamento/avaliao de danos e
de recuperao de erros de recuperao de erros
IDS Baseados em Host (HIDS)
IDS Baseados em Host (HIDS)
0esvantagens
1
dfcudade de nstaao dfcudade de nstaao
1
dfcudade de manuteno dfcudade de manuteno
1
ataques ao prpro IDS ataques ao prpro IDS
1
dfcudade de tratar ataques de rede dfcudade de tratar ataques de rede
1
nterfernca no desempenho do sstema nterfernca no desempenho do sstema
1
dependnca de pataforma dependnca de pataforma
Intrusion Detection Systems
Intrusion Detection Systems
Rede
Externa
Pacotes
Firewall
Rede
Interna
Network-based I0S (NI0S)
Intrusion Detection Systems
Intrusion Detection Systems
Host-based I0S (HI0S)
Rede
Externa
Pacotes
Firewall
Rede
Interna
Mail
Server
Web
Server
FTP
Server
HIDS
Incorporado
HIDS
Incorporado
HIDS
Incorporado
Server Farm
aseado em Comportamento
1
tambm chamado de deteco por anomalia
1
caracteriza o comportamento do sistema em normal
ou anmalo
1
habilidade de distinguir um comportamento normal
de um anmalo
1
compara o estado atual do sistema com o compor-
tamento considerado normal
1
desvios so considerados intruses
1
Ex.: conexes externas em horrios incomuns
Tipos de IDS (segundo o mtodo)
Tipos de IDS (segundo o mtodo)
Tipos de IDS (segundo o mtodo)
Tipos de IDS (segundo o mtodo)
aseado em AssInaturas
Compara os pacotes que captura com padres
pr-estabelecidos gerando os alertas no
casamento de padres
1
tambm chamada de deteco por mau-uso tambm chamada de deteco por mau-uso
1
divide as aes do sistema em aceitveis e no divide as aes do sistema em aceitveis e no
aceitveis aceitveis
1
habilidade de encontrar tentativas de explora- habilidade de encontrar tentativas de explora-
o de vulnerabilidades conhecidas o de vulnerabilidades conhecidas
1
compara as aes realizadas no sistema com
uma base de assinaturas de ataques
Vantagens
- deteco de ataques desconhecidos
- usado na criao de novas bases de assinaturas
- facilita a deteco de abusos de privilgios
IDS Baseados em Comportamento
IDS Baseados em Comportamento
0esvantagens
- dificuldade de configurao
- maior n de falsos positivos
- relatrios de difcil anlise
- menor desempenho (clculos complexos)
- dificuldade de lidar com mudanas normais de comportamento
Vantagens
- baixo n de falsos positivos
- possibilita adoo de contra-medidas imediatas
- reduo na quantidade de informao tratada
- melhor desempenho
- possibilidade de criao de novas
IDS Baseados em Assinaturas
IDS Baseados em Assinaturas
0esvantagens
- deteco s para ataques conhecidos
- necessidade de manuteno contnua
- falsa sensao de segurana (novos ataques)
IDS :: Estrutura
IDS :: Estrutura
CoIetores
(rede)
Unidades
de
resposta
Gerentes
AnaIisadores
CoIetores
(host)
Base de
dados
Exemplos de IDS
Exemplos de IDS
PeaI Secure (ISS)
0ragon (Enterasys)
e-Trust (CA)
Snort
Vantagens
- contratos de suporte com atualizao automtica
de assinaturas
- interfaces grficas amigveis
0esvantagens
- CUSTO ALTO !!!!
- Falta de padronizao (assinaturas proprietrias)
Solues Comerciais
Solues Comerciais
Snort IDS
Snort IDS
2
Atualmente um dos mais utilizados
2
Dados coletados na rede (NIDS)
2
Anlise baseada em assinaturas
2
Simples e eficiente
2
Base com milhares de assinaturas
2
Plataformas Unix e Windows
2
Distribuio livre (www.snort.org)
Snort IDS
Snort IDS
2
Captura de pacotes de rede (libpcap)
2
Anlise Simples
2
baseado em regras
2
trata cabealhos e dados
2
Aes: registrar, alertar ou descartar
Snort IDS
Snort IDS
1
1 parte: ao a ser tomada
1 parte: ao a ser tomada
1
log, alert ou pass log, alert ou pass
1
2 parte: padro procurado
2 parte: padro procurado
1
cabealho ou contedo cabealho ou contedo
alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
Snort IDS
Snort IDS
alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any
(msg:"PORN free XXX"; content:"FREE XXX";
classtype:kickass-porn; sid:1310;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 53
(msg:"DNS zone transfer"; content: "|00 00 FC|";
classtype:attempted-recon; sid:255;)
ExempIos de assInaturas
Snort IDS
Snort IDS
ExempIos de Iogs gerados
[**] BACKDOOR Possible Apache/OpenSSL worm backdoor [**]
[Classification: Attempted Administrator Privilege Gain]
[Priority: 1]
18/12-16:11:33 xx.yy.zz.ww:53 -> 200.aa.bb.cc:2002
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:96 DF Len: 76
[**] spp_portscan: PORTSCAN DETECTED from 200.19.175.9
(THRESHOLD 4 connections exceeded in 7 seconds) [**]
18/12-16:16:09.754837
Snort IDS
Snort IDS
alert tcp $MEU_SERVIDOR_FTP 21 <-> any any
(msg:Erro no login FTP"; content: Login failed.;)
AssInaturas PersonaIIzadas
alert tcp any any <-> $MEU_SERVIDOR_PCANYWHERE 5632
(msg:Conexao em meu servidor PCAnywhere";)
ArquIvo de confIgurao
- /etc/snort/snort.conf
Snort IDS
Snort IDS
0aemon (stoplstart no Snort)
- /etc/InIt.d/snortd (stop/start)
PegIstro de Iogs de aIertas
- /var/log/snort/alert
ase de assInaturas
- /etc/snort/conjunto_de_regras.rules
- Ex: backdoor.rules
Conjuntos de regras maIs utIIIzados
Snort IDS
Snort IDS
attack-responses.rules exploit.rules
local.rules rservices.rules
tftp.rules web-iis.rules
backdoor.rules finger.rules
misc.rules scan.rules
virus.rules web-misc.rules
bad-traffic.rules ftp.rules
netbios.rules shellcode.rules
web-attacks.rules x11.rules
ddos.rules icmp-info.rules
policy.rules smtp.rules
web-cgi.rules dns.rules
icmp.rules porn.rules
sql.rules web-coldfusion.rules
dos.rules info.rules
rpc.rules telnet.rules
web-frontpage.rules
Ferramentas para Anlise de
Ferramentas para Anlise de
Logs do Snort IDS
Logs do Snort IDS
2
Demarc Pure Secure
2
pysnort
2
glogwatch
2
rrd-snort
2
RazorBack
2
Aris Extractor
2
SnortSnarf
2
ACID
2
...
Demarc
Demarc
www.demarc.com
Demarc
Demarc
www.demarc.com
SnortSnarf
SnortSnarf
2
Ferramenta de apoio ao Snort
2
Analisa os logs gerados pelo Snort
2
Apresentao grfica (Web)
2
Scripts Perl geram arquivos HTML
www.scondefense.com/software/snortsnarf
SnortSnarf
SnortSnarf
www.scondefense.com/software/snortsnarf
ACID
ACID
Analysis Console for Intrusion Databases Analysis Console for Intrusion Databases
2
Ferramenta de apoio ao Snort
2
Analisa os logs gerados pelo Snort
2
Apresentao grfica (Web)
2
Scripts PHP + Banco MySQL
2
Gratuito (http://www.cert.org/kb/acid/)
2
Buscas personalizadas
ACID
ACID
Analysis Console for Intrusion Databases Analysis Console for Intrusion Databases
2
Com o Snort+Acid consegue-se a
mesma performance dos IDS
comerciais praticamente sem custo
2
Cdigo-fonte aberto (adaptvel)
2
Requisitos de hardware mais leves
2
Interface independente dos logs
(consultas baseadas no banco MySQL)
Aps os Resultados
Aps os Resultados
2
Contactar o administrador da rede
2
Reunir logs e informaes do incidente
2
Enviar as provas do incidente para:
2
Administrador da Rede
2
Centros de Atendimento a Incidentes
2
Registro (logs) de novas conexes
2
Medidas restritivas no Firewall (??!!)
Externo (depois do firewall)
- pega todos os ataques (inclusive os barrados)
- processamento muito alto (vivel ?)
- alto nmero de logs gerados
Posicionamento do IDS
Posicionamento do IDS
Interno (entre o firewall e a rede interna)
- captura somente o trfego liberado no firewall
- menos processamento
- menor gerao de logs
IDS Passivo
- detecta mas no barra o ataque
- pode informar o administrador
- falso-positivos podem ser interpretados pelo admin
IDS Passivo x IDS Ativo
IDS Passivo x IDS Ativo
IDS Ativo
- detecta ataque e insere regras no firewall
- processo automatizado (sem interveno)
- falso-positivos podem gerar grandes problemas
Intrusion Detection Systems
Intrusion Detection Systems
Rede
Externa
Pacotes
Firewall
Rede
Interna
IDS Passivo
IDS Passivo
Intrusion Detection Systems
Intrusion Detection Systems
IDS Ativo
IDS Ativo
Rede
Externa
Pacotes
Firewall
Rede
Interna
CIDF
Common Intrusion Detection Framework
- Proposio de um modelo centralizado de
base de assinaturas de ataques
Padronizao dos IDS
Padronizao dos IDS (em andamento) (em andamento)
IETF IDWG
Intrusion Detection Working Group
- Realiza estudos e proposies para interfaces
entre solues de IDS distintas (aproveitamento
de bases, tipos de alertas, etc).
Especializao em Computao Forense
S
is
t
e
m
a
s
d
e
D
e
t
e
c
o
S
is
t
e
m
a
s
d
e
D
e
t
e
c
o
d
e
I
n
t
r
u
s
e
s
(
I
D
S
)
d
e
I
n
t
r
u
s
e
s
(
I
D
S
)
Prof. Ricardo Klber
ricardo.galvao@ifrn.edu.br ricardo.galvao@ifrn.edu.br
Reconstruo Cronolgica de Ataques
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
09 Reconstruo Cronolgica de Ataques
Especializao em1
23456789A31B3CDEFD
Reconstruo Cronolgica de Ataques
Tcnicas de Evaso e Contra Resposta
Reconstruo Cronolgica de Ataques
Viso Geral :: Entendendo o Processo
Para a reconstruo cronolgica de incidentes de segurana
necessrio utilizar todos os elementos que podem fornecer
pistas para a investigao do incidente.
fundamental o uso (quando disponvel) de logs de
Firewalls
Sistemas de deteco de intruses (IDS)
Servidores de Log (LogServers)
O cruzamento destes dados, aliado a detalhes dos ambientes
envolvidos permite a reconstruo dos rastros do atacante
Reconstruo Cronolgica de Ataques
Consistncia Temporal
Mecanismos de sincronizao de equipamentos
Protocolo NTP (Network Time Protocol)
Horrios de Referncia (UTC / GMT) + Timezone
Identificao de atrasos ou adiantamento de horrios dos
relgios dos equipamentos (antes do processo de
reconstruo)
Tcnicas de Evaso e Contra Resposta
Reconstruo Cronolgica de Ataques
Reconstruo Cronolgica de Ataques
Que mecanismos o administrador utiliza para manter
os relgios dos servidores, firewalls e IDS atualizados ?
Existe sincronizao entre servidores de aplicao e demais
equipamentos?
Reconstruo Cronolgica de Ataques
Consistncia Temporal
Os registros de incidentes de segurana no tm
validade se no houver consistncia temporal
Notificaes de Incidentes de Segurana
Tcnicas de Evaso e Contra Resposta
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
10 - Notificaes de Incidentes
(Exemplos)
Especializao em1
23456789A31B3CDEFD
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Assunto: Servidor DNS recursivo aberto utilizado em ataque: 200.19.168.0
Data: Fri, 2 Mar 2007 16:04:05 -0300 (BRT)
De: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Para: NARIS <naris@info.ufrn.br>
CC: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
O CAIS recebeu a informacao de que as maquinas listadas abaixo tiveram seus servidores DNS abusados por atacantes e
utilizados para desferir ataques de negacao de servico distribuidos (DDoS). Normalmente este tipo de ataque e' possivel pois
o servico de DNS da maquina esta configurado para permitir consultas recursivas com origem externa de forma indiscriminada.
1916 | 200.19.168.1 | 2007-02-25 19:36:41 UDP srcport 53 count 52 to 208.98.32.200
Os ataques ocorrem atraves do envio de pacotes de consulta aos servidores vulneraveis, forjando como origem do pacote a
maquina vitima do ataque de negacao de servico. Nos logs acima, o terceiro campo contem o timestamp do
ataque, protocolo e porta utilizadas, contagem de pacotes que foram enviados e destino do ataque.
Apos a solucao do problema recomendamos testar o servidor DNS no seguinte site: http://www.dnsreport.com
Uma descricao do problema e possiveis solucoes sao descritas em:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto
Veja mais informacoes sobre DNS recursivos aberto nas seguintes URLs:
. http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
. http://cc.uoregon.edu/cnews/winter2006/recursive.htm
. http://istpub.berkeley.edu:4201/bcc/Fall2006/922.html
. http://net.berkeley.edu/DNS/recursion.shtml
. http://net.berkeley.edu/DNS/recursion-detail.shtml
. http://www.ietf.org/internet-drafts/draft-ietf-dnsop-reflectors-are-evil-02.txt
Favor investigar, tomar providencias e responder ao reclamante, com copia para o CAIS.
Atenciosamente,
Ronaldo C Vasconcellos
CAIS/RNP
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Assunto: Copyright Infringement Notice Notice ID: 14-9047777
Data: Tue, 21 Nov 2006 08:42:41 -0200 (BRST)
De: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Para: NARIS <naris@info.ufrn.br>
CC: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
Segue denuncia da NBC Universal indicando que o host 200.19.164.146 possui copia ilegal, e que esta' sendo
distribuida, do seguinte material protegido por direitos autorais:
Title: My Summer of Love
Infringement Source: eDonkey
Initial Infringement Timestamp: 14 Nov 2006 04:43:25 GMT
Recent Infringment Timestamp: 14 Nov 2006 04:43:25 GMT
Infringer Username:
Infringing Filename: My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi
Infringing Filesize: 733915136
Infringers IP Address: 200.19.164.146
Infringers DNS Name:
Infringing URL:
ed2k://|file|My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi|733915136|0B7BC9FF1B131DA65A8DF591834C2C15|/
Solicitamos que a maquina em questao seja verificada para comprovar e identificar a origem de tal atividade.
Para fechar este incidente apos a solucao do problema deve-se seguir as instrucoes disponiveis na seguinte URL:
http://webreply.baytsp.com/webreply/webreply.jsp?customerid=14&commhash=2fe8712e01737878c5709ce41d64ed1d
Favor investigar, tomar providencias e responder ao reclamante, com copia para o CAIS.
Atenciosamente,
Atanai S. Ticianelli
CAIS/RNP
(01/03)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Date: Mon, 13 Nov 2006 21:08:18 -0800
From: universal-studios-no-reply@copyright-compliance.com
To: cais@cais.rnp.br
Subject: Copyright Infringement Notice Notice ID: 14-9047777
Re: Unauthorized Use of NBC Universal Properties
Notice ID: 14-9047777
14 Nov 2006 05:06:34 GMT
Please be advised that NBC Universal and/or its subsidiary and affiliated companies (collectively, NBC Universal) are the
owners of exclusive rights protected under copyright law and other intellectual property rights in many motion pictures and
television programs, including the title(s) listed below (the NBC Universal Properties). NBC Universal diligently enforces
its rights in its motion pictures.
It has come to our attention that Associacao Rede Nacional de Ensino e Pesquisa is the service provider for the IP address
listed below, from which unauthorized copying and distribution (downloading, uploading, file serving, file "swapping" or
other similar activities) of NBC Universal's motion picture(s) listed below is taking place. We believe that the Internet
access of the user engaging in this infringement is provided by Associacao Rede Nacional de Ensino e Pesquisa or a downstream
service provider who purchases this connectivity from Associacao Rede Nacional de Ensino e Pesquisa.
This unauthorized copying and distribution constitutes copyright infringement under applicable national laws and
international treaties. Although various legal and equitable remedies may be available to NBC Universal as a result of such
infringement, NBC Universal believes that the entire Internet community benefits when these matters are resolved
cooperatively. We urge you to take immediate action to stop this infringing activity and inform us of the results of your
actions. We appreciate your efforts toward this common goal.
Please be advised that this letter is not intended to be a complete statement of the facts or law as they may pertain to this
matter or of NBC Universal's positions, rights or remedies, legal or equitable, all of which are specifically reserved.
Please send us a prompt response indicating the actions you have taken to resolve this matter, making sure to reference the
Notice ID number above in your response.
mailto:antipiracy@nbcuni.com?subject=RE%3A%20Copyright%20Infringement%20Notice%20Notice%20ID%3A%2014%2D9047777
If you do not wish to reply by email, please use our Web Interface by clicking on the following link:
http://webreply.baytsp.com/webreply/webreply.jsp?customerid=14&commhash=2fe8712e01737878c5709ce41d64ed1d
(02/03)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Note: If your email program has inserted line breaks into either the email or web links above, you can
copy and paste the entire link in to you email program, or favorite web browser, respectively.
Very truly yours,
Internet Anti-Piracy Team, Worldwide Anti-Piracy Operations
NBC UNIVERSAL
100 Universal City Plaza 1220/2
Universal City, CA 91608
tel. (818) 777-4876
fax (818) 866-2155
antipiracy@nbcuni.com
*pgp public key is available on the key server at ldap://keyserver.pgp.com
** For any correspondence regarding this case, please send your emails
to antipiracy@unistudios.com and refer to Notice ID: 14-9047777. If you
need immediate assistance or if you have general questions please call
the number listed above.
Title: My Summer of Love
Infringement Source: eDonkey
Initial Infringement Timestamp: 14 Nov 2006 04:43:25 GMT
Recent Infringment Timestamp: 14 Nov 2006 04:43:25 GMT
Infringer Username:
Infringing Filename: My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi
Infringing Filesize: 733915136
Infringers IP Address: 200.19.164.146
Infringers DNS Name:
Infringing URL:
ed2k://|file|My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi|733915136|
0B7BC9FF1B131DA65A8DF591834C2C15|/
(03/03)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Assunto: 200.19.163.96: host(s) explorando vuln. do VNC
Data: Thu, 3 May 2007 11:31:54 -0300 (BRT)
De: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Para: NARIS <naris@info.ufrn.br>
CC: NOE - Nucleo de Operacoes Especiais de Seguranca <noe@pop-rn.rnp.br>, Centro
de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
Segue denuncia do CERT.br informando que um ou mais hosts sob sua
responsabilidade foram origem de varreduras pela vulnerabilidade remota do
software RealVNC (5900/TCP). A relacao de hosts em questao e' a seguinte:
200.19.163.96
Favor investigar, tomar providencias e responder ao reclamante, com copia
para o CAIS.
Atenciosamente,
Ronaldo C. Vasconcellos
CAIS/RNP
(01/04)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
Date: Tue, 1 May 2007 09:38:37 -0300 (BRT)
From: CERT.br <cert@cert.br>
To: cais@cais.rnp.br, naris@info.ufrn.br
Cc: cert@cert.br
Subject: 200.19.163.96: host(s) explorando vuln. do VNC
Caro responsavel,
Os logs anexados no final desta mensagem indicam uma maquina
possivelmente comprometida e efetuando varreduras pela vulnerabilidade
remota do software RealVNC (5900/TCP). Os horarios dos logs sao todos GMT.
Gostariamos de solicitar que:
* o problema com os IPs abaixo seja investigado e solucionado.
Se voce nao for a pessoa correta para corrigir o problema por favor
envie essa mensagem para alguem que possa faze-lo.
Maiores detalhes sobre o porque do envio desta mensagem, quem e' o
CERT.br e como resolver este problema seguem abaixo.
Cordialmente,
CERT.br
<cert@cert.br>
http://www.cert.br
(02/04)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
* Onde posso obter informacoes sobre como solucionar este problema?
- VU#117929 RealVNC Server does not validate client authentication method
http://www.kb.cert.org/vuls/id/117929
* Onde aprender mais sobre configuracao segura de sistemas?
- Praticas de Seguranca para Administradores de Redes Internet
http://www.cert.br/docs/seg-adm-redes/
- Cartilha de Seguranca para Internet
http://www.cert.br/docs/cartilha/
* O que e' o CERT.br?
O CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil -- e' o Grupo de
Resposta a Incidentes de Seguranca para a Internet brasileira, mantido pelo Comite Gestor da Internet no
Brasil. E' o grupo responsavel por receber, analisar e responder a incidentes de seguranca em
computadores, envolvendo redes conectadas `a Internet brasileira.
* Por que estou recebendo essa mensagem?
Voce esta' recebendo esse email por estar listado em
http://registro.br como contato desta rede.
Se voce for contato de varias redes diferentes e' possivel que voce
receba mais de um email, com conteudos diferentes. Por favor nao
apague outras copias que vier a receber.
(03/04)
Notificaes de Incidentes de Segurana
Notificaes de Incidentes de Segurana
Exemplos de E-mails (reais)
# todos os horarios estao em GMT.
Apr 30 00:50:30.781323 200.19.163.96.1157 > xxx.xxx.xxx.58.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 3965095804:3965095804(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 23299, len 48)
Apr 30 01:04:25.997462 200.19.163.96.2940 > xxx.xxx.xxx.55.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 3982671452:3982671452(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 21641, len 48)
Apr 30 01:06:11.134298 200.19.163.96.3141 > xxx.xxx.xxx.50.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2340487152:2340487152(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 29601, len 48)
Apr 30 01:08:24.586420 200.19.163.96.4567 > xxx.xxx.xxx.47.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2526622844:2526622844(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 39977, len 48)
Apr 30 01:12:33.813540 200.19.163.96.2630 > xxx.xxx.xxx.39.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2309692541:2309692541(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 58723, len 48)
Apr 30 01:35:27.998089 200.19.163.96.2505 > xxx.xxx.xxx.42.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2437098615:2437098615(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32922, len 48)
Apr 30 01:49:39.323214 200.19.163.96.1182 > xxx.xxx.xxx.45.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2123260271:2123260271(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32819, len 48)
Apr 30 02:06:43.842211 200.19.163.96.2638 > xxx.xxx.xxx.48.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 731728196:731728196(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 45852, len 48)
Apr 30 02:11:27.180362 200.19.163.96.2131 > xxx.xxx.xxx.43.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2272339791:2272339791(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 1869, len 48)
Apr 30 02:17:18.688518 200.19.163.96.4131 > xxx.xxx.xxx.40.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 1403994623:1403994623(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 28560, len 48)
Apr 30 02:18:03.639422 200.19.163.96.2146 > xxx.xxx.xxx.34.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 3832048600:3832048600(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32162, len 48)
Apr 30 02:18:03.691090 200.19.163.96.2147 > xxx.xxx.xxx.35.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2144373665:2144373665(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32170, len 48)
Apr 30 02:18:03.691229 200.19.163.96.2148 > xxx.xxx.xxx.36.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 50765163:50765163(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32171, len 48)
Apr 30 02:18:03.691338 200.19.163.96.2154 > xxx.xxx.xxx.41.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 1457574140:1457574140(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32177, len 48)
Apr 30 02:18:03.770933 200.19.163.96.2158 > xxx.xxx.xxx.37.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 3961212682:3961212682(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32181, len 48)
Apr 30 02:18:03.770995 200.19.163.96.2159 > xxx.xxx.xxx.38.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 2184607035:2184607035(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 32182, len 48)
(04/04)