Ferramentas de varredura de seguran ca para GNU/Linux

Jos e Ricardo Sim oes Rodrigues Dezembro de 2003.

Resumo Este breve texto procura falar acerca da experi encia do autor no uso de ferrametas de varredura de seguran ca para GNU/Linux, principalmente quanto ao uso das ferramentas SARA e NMAP.

Sum ario
1 SARA The Security Auditors Research Assistant 1.1 Instala c ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Usando o SARA . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 NMAP Network map 2.1 Instala c ao do NMAP . 2.2 Escaneando hosts . . . 2.3 M etodos de Varredura 2.4 Op c oes Gerais . . . . . 3 Conclus oes 2 2 3 4 6 6 6 10 11

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

Lista de Figuras
1 2 3 4 5 Screenshot do SARA no console. . . . . . . . . . . . . . . . . . . Screenshot do SARA via browser. . . . . . . . . . . . . . . . . . . Screenshot do SARA via browser. Congura c ao do host. . . . . . Screenshot do SARA via browser. Relat orio de vulnerabilidades poss veis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instala c ao do NMAP via rpm. . . . . . . . . . . . . . . . . . . . . 2 3 4 5 6

O autor e estudante do curso de P os Gradua c ao Lato Sensu em Administra c ao de Redes Linux da Universidade Federal de Lavras. O presente artigo foi escrito como atividade da disciplina Seguran ca em Redes e Criptograa ministrada pelo Prof. Joaquim Quinteiro Uch oa. Endere co para correspond encia eletr onica: simoes@uni.de

6 7 8

Screenshot do NmapFE. . . . . . . . . . . . . . . . . . . . . . . . Screenshot do nmap no console. Escaneando localhost. . . . . . . Screenshot do nmap no console. Identica c ao do SO. . . . . . . .

7 7 8

Lista de Tabelas
1 Uso do NMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Introdu c ao
.

SARA The Security Auditors Research Assistant

Tendo como modelo o antigo SATAN, atual SAINT, o scanner SARA oferece praticamente as mesmas funcionalidades que o SAINT. SARA possui uma integra c ao com o pacote NMAP, fornecendo Operating System ngerprinting, para descobrir via rede qual o sistema operacional do equipamento, provendo assim testes de vulnerabilidade mais eciente por SO. Tamb em e integrada com o pacote SAMBA, para vericar a seguran ca do protocolo SMB.

1.1

Instala c ao

Figura 1: Screenshot do SARA no console. Obtivemos os arquivos a partir de http://www-arc.com/sara e compilamos usando os comandos ./configure, make e make install num terminal. Neste artigo, zemos uso do SARA vers ao 4.2.5c num sistema Conectiva GNU/Linux 2.4.18-2cl.

Figura 2: Screenshot do SARA via browser. A gura 1 na p agina 2 mostra a execu c ao do SARA a partir do console. Usamos a op c ao -n para suportar o NMAP que est a instalado tamb em, vide se c ao 2 na p agina 4. O pacote SARA possui como interface com usu ario, modo e utiliza c ao e funcionalidades praticamente id enticas ao SAINT, apenas diferindo nos n veis de detec c ao, que tem 7 n veis, dados a seguir: Light: procura b asica; Normal: detectado via logs; Heavy: pode provocar crash; Extreme: servi cos sem os devidos patches podem ser atingidos; Custom: (somente SAMBA) Custom: (somente servi cos WEB) Custom: (somente scan) O SARA tem algumas congura c oes como detec c ao do browser e utiliza c ao do browser devem ser feitas pelo pr oprio usu ario e n ao pelo programa automaticamente. Necessita, para uma melhor utiliza c ao, os pacotes PERL, NMAP, Samba e Nestcape. O SARA roda em sistemas UNIX em geral e n ao tem nenhuma especica c ao de sistemas operacionais sugeridos para sua utiliza c ao. 3

1.2

Usando o SARA

Como dissemos, o SARA tem uma interface que e acessada via browser. A congura c ao do host a ser explorado e feita clicanco-se no link Target selection poss no menu esquerdo da p agina principal. E vel especicar um host, uma subrede um um range de IPs, vide gura 3 na p agina 4. O SARA apresenta seus resultados de forma muito bem organizada e de f acil entendimento, como vemos na gura 4 na p agina 5. Cada poss vel vulnerabilidade e explicada detalhadamente, inclusive com textos origin arios do Computer Emergency Responce Team (CERT), o que facilita em muito a verica c ao da real exist encia da vulnerabilidade e sua corre c ao.

Figura 3: Screenshot do SARA via browser. Congura c ao do host.

Figura 4: Screenshot do SARA via browser. Relat orio de vulnerabilidades poss veis.

NMAP Network map

Este software foi desenvolvido para scanear redes extensas rapidamente, embora trabalhe melhor com hosts u nicos. Nmap utiliza os pacotes IP em caminhos originais para determinar quais hosts est ao dispon veis na rede, quais servi cos est ao oferecendo, qual sistema operacional est ao executando, qual tipo de pacote de ltro / rewall est ao usando, e uma d uzia de outras caracter sticas.

2.1

Instala c ao do NMAP

O NMAP foi primariamente feito para sistemas unix. Obviamente, a comunidade open source portou o software para in umeras plataformas. NMAP e um programa para console mas existe interface (frontend) GTK: NmapFE. A vantagem de usar NmapFE e que o usu ario novato poderia se perder com tantas op c oes dispon veis. Neste artigo, zemos uso do NMAP e NmapFE vers ao 3.48 num sistema Conectiva GNU/Linux 2.4.18-2cl. Podemos instalar e congurar o NMAP em nosso sistema usando as duas formas tradicionais de instala c ao de programas sob GNU/Linux: compilando a partir do c odigo-fonte ou instalando os bin arios. Obtenha os arquivos a partir de www.insecure.org/nmap e instale: [root@paranoid /root]# rpm -ivh nmap* Preparando... ###################### [100%] 1:nmap ###################### [ 50%] 2:nmap-frontend ###################### [100%] [root@paranoid /root]# Figura 5: Instala c ao do NMAP via rpm. Se formos compilar a partir dos fontes, usaremos os comandos ./configure, make e make install. O bin ario do frontend depende da biblioteca GTK. Para iniciar o programa via frontend digitamos num terminal nmapfe. A gura 6 na p agina 7 mostra uma captura da tela do NmapFE em a c ao.

2.2

Escaneando hosts

Ap os a instala c ao podemos come car a escanear nossa pr opria m aquina. As gura 7 na p agina 7 e 8 na p agina 8 mostram o nmap no console ap os escanear localhost. O que podemos escanear? A tabela 1 na p agina 8 mostra alguns usos simples do nmap.

Figura 6: Screenshot do NmapFE.

Figura 7: Screenshot do nmap no console. Escaneando localhost.

Figura 8: Screenshot do nmap no console. Identica c ao do SO.

Tabela 1: Uso do NMAP Objetivo hostname Endere co IP Sub-rede Uso t pico Scan de host individuis dos quais sabemos o nome. Podemos indicar v arios hosts por vez. Podemos especicar um endere co IP ao inv es do nome. Com uma m ascara de sub-rede, podemos fazer um scan de um intervalo de IPs. Com o curinga * podemos especicar intervalos de IP de forma mais ex vel. Exemplo nmap localhost www.test.com nmap 127.0.0.1 192.168.0.1 nmap 192.168.0.0/24 scannt from 192.168.0.0 to 192.168.0.255 nmap 10.*.1.2 scannt 10,0,1,2, 10,1, 1,2,10.2.1.2.... 10.255.1.2

Curingas

2.3

M etodos de Varredura

-sP Ping scan: Algumas vezes e necess ario saber se um determinado host ou rede est a no ar. Nmap pode enviar pacotes ICMP echo request para vericar se determinado host ou rede est a ativa. Hoje em dia, existem muitos ltros que rejeitam os pacotes ICMP echo request, ent ao envia um pacote TCP ACK para a porta 80 (default) e caso receba RST o alvo est a ativo. A terceira t ecnica envia um pacote SYN e espera um RST ou SYN-ACK. -sR RCP scan: Este m etodo trabalha em conjunto com v arias t ecnicas do Nmap. Ele considera todas as portas TCP e UDP abertas e envia comandos NULL SunRPC, para determinar se realmente s ao portas RPC. como se o comando rpcinfo -p estivesse sendo utilizado, mesmo atrav E es de um rewall ( ou protegido por TCP wrappers ). -sS TCP SYN scan: Caso um pacote SYN-ACK seja recebido, a porta est a aberta, enquanto um como resposta indica que a porta est a fechada. A vantagem dessa abordagem e que poucos ir ao detectar esse scanning de portas. a t utili-sT TCP connect() scan: E ecnica mais b asica de TCP scanning. E zada a chamada de sistema (system call) connect() que envia um sinal as portas ativas. Caso a porta esteja aberta recebe como resposta connect(). um dos scan mais r E apidos, por em f acil de ser detectado. -sU UDP scan: Este m etodo e utilizado para determinar qual porta UDP est a aberta em um host. A t ecnica consiste em enviar um pacote UDP de 0 byte para cada porta do host. Se for recebido uma mensagem ICMP port unreachable ent ao a porta est a fechada, sen ao a porta pode estar aberta. Para variar um pouco, a Microsoft ignorou a sugest ao da RFC e com isso a varredura de m aquinas Windows e muito r apida. -sV Version detection: Ap os as portas TCP e/ou UDP serem descobertas por algum dos m etodos, o nmap ir a determinar qual o servi co est a rodando atualmente. O arquivo nmap-service-probes e utilizado para determinar tipos de protocolos, nome da aplica c ao, n umero da vers ao e outros detalhes. -sF, -sX, -sN Stealth FIN, Xmas Tree ou Null: Alguns rewalls e ltros de pacotes detectam pacotes SYNs em portas restritas, ent ao e necess ario utilizar m etodos avan cados para atravessar esses softwares. FIN: Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes. (Esse m etodo n ao funciona com a plataforma Windows, uma vez que a Microsoft n ao seguiu RFC 973)

 Xmas Tree: Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes. As ags FIN, URG e PUSH s ao utilizados no pacotes FIN que e enviado ao alvo. (Esse m etodo n ao funciona com a plataforma Windows, uma vez que a Microsoft n ao seguiu RFC 973) Null: Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes. Nenhuma ag e ligada no pacote FIN. (Esse m etodo n ao funciona com a plataforma Windows, uma vez que a Microsoft n ao seguiu RFC 973)

2.4

Op c oes Gerais

-D <decoy1 [,decoy2][,VOCE],...> Durante uma varredura, utiliza uma s erie de endere cos falsicados, simulando que o scanning tenha originado desses v arios hosts, sendo praticamente imposs vel identiicar a verdadeira origem da varredura. Ex.: nmap -D IP1,IP2,IP3,IP4,IP6,SEU IP alvo -F Procura pelas portas que est ao no /etc/services. M etodo mais r apido, por em n ao procurar por todas as portas. Ex.: nmap -F alvo -I Se o host estiver utilizando o ident, e poss vel identicar o dono dos servi cos que est ao sendo executados no servidor (trabalha com a op c ao -sT) Ex.: nmap -sT -I alvo -n N ao ir a resolver nome de hosts a ser varrido. Ex.: nmap -n alvo -O Ativa a identica c ao do host remoto via TCP/IP. Ir a apresentar vers ao do Sistema Operacional e tempo ativo. Ex.: nmap -O alvo -p <lista de portas> Especica quais portas devem ser vericadas na varredura. Por default, todas as portas entre 1 e 1024 s ao varridas. Ex.: nmap -p 22,80 alvo nmap -p U:53,111,137,T:21-25,80,139,8080 -P0 N ao tenta pingar o host antes de iniciar a varredura. Isto permite varrer alvos que bloqueiam ICMP echo request (ou responses) atrav es de rewall. Ex.: nmap -P0 alvo -PS[lista de portas] Usa pacotes SYN para determinar se o host est a ativo. Ex.: nmap -PS80 alvo -PT[lista de portas] Usa TCP ?ping? para determinar se o host est a ativo. Ex.: nmap -PT80 alvo -R Ir a resolver nome de hosts a ser varrido. Ex.: nmap -R alvo -r A varredura ser a feita nas portas randomicamente, n ao seguinte a ordem crescente. Ex.: nmap -r alvo

10

-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> Esse par ametro seta a prioridade de varredura do Nmap: Paranoid (-T5) e muito lento na esperan ca de prevenir a detec c ao pelo sistema IDS. Este serializa todos os scans (scanning n ao paralelo) e geralmente espera no m nimo 5 minutos entre o envio de pacotes. Sneaky (-T4) e similar ao Paranoid, exceto que somente espera 15 segundos entre o envio de pacotes. Polite (-T3) tem o signicado para facilitar a carga na rede e reduzir as chances de travar a m aquina. Ele serializa os testes e espera no m nimo 0.4 segundos entre eles. Normal (-T2) e o comportamento default do Nmap, o qual tenta executar t ao r apido quanto poss vel sem sobrecarregar a rede ou perder hosts/portas. Aggressive(-T1) esse modo adiciona um timeout de 5 minutos por host e nunca espera mais que 1.25 segundos para testar as respostas. Insane (-T0) e somente adequando para redes muito r apidas ou onde voc e n ao se importa em perder algumas informa c oes. Nesta op c ao o timeout dos hosts acontecem em 75 segundos e espera somente 0.3 segundos por teste individual. -ttl <valor> Altera o valor do TTL (Time to Live), dessa forma diculta a origem do pacote. Ex.: nmap -ttl 55 alvo -v Modo verbose. Mostra tudo o que est a se passando. Ex.: nmap -v alvo --scanflags Flag n ao documentada. Com ela e poss vel especicar ags arbitr arias usando nomes de ags ou n umero. Nesse exemplo estamos usando uma varredura SYN-FIN Ex.: nmap -sS ?scanflags SYNFIN -O alvo

Conclus oes

Utilit arios como o Nmap e SARA est ao em constante atualiza c ao, cada vez mais sutis eles passam muitas vezes desapercebidos no rewalls e IDSs. O que pode diminuir os riscos e a congura c ao de rewalls com regras bem denidas, diminui c ao dos servi cos ativos no gateway deixando apenas aqueles indispens aveis ao seu funcionamento e an alise constante de seus arquivos de log. Um bom sistema de detec c ao de intrusos, como o SNORT, e indicado tamb em. Tanto o Nmap quanto o SARA podem e devem serem usados para averigua c ao do estado do host, principalmente se tratar de um servidor e constantemente para monitorar o estado das portas e se elas pertencem a algum servi co legitimo ou n ao. Portas abertas podem signicar trojans instalados, por isso devemos usar tamb em o programa chkrootkit para identicar mais facilmente essa tentativa de ataque. O chkrootkit pode ser encontrado no endere co http://www. chkrootkit.org. 11

Ambos progrgamas podem ser considerados ferramentas cracker ouexcelentes utilit arios para consultores de seguran ca e administradores de rede, o fato e que, pelo menos o NMAP, realiza de forma extremamente eciente o que se prop oe.

12