I Workshop de Redes IESPES

Ferramentas para segurana de redes

I Workshop de Redes IESPES

Luiz Felipe de Sousa Tc. TI Infraero / Stm Graduando Bach. Sist. Inf. - UFPa Usurio Linux OpenSUSE 11.2 luizfelipe.mz@gmail.com

SISTEMAS OPERACIONAIS DE REDE / MODELO OSI

Camadas de Uso do Sistema Computacional

USURIO
SISTEMA OPERACIONAL DE REDE HARDWARE

SISTEMAS OPERACIONAIS DE REDE / MODELO OSI Modelo OSI (Open System Interconect)
APLICAO
APRESENTAO SESSO TRANSPORTE REDE ENLACE FSICA

Http, Ftp, Dns, Irc...

Converso, compactao Controle, sincronia... Protocolos TCP e UDP Roteamento, Endereamento... Endereo MAC, Switch, Bridge Fddi, Frame-Relay, Atm, Ethernet...

SISTEMAS OPERACIONAIS DE REDE / MODELO OSI

USURIO APLICAO APRESENTAO SISTEMA OPERACIONAL DE REDE SESSO TRANSPORTE REDE ENLACE HARDWARE

FSICA

SISTEMAS OPERACIONAIS DE REDE / MODELO OSI

APLICAO

APLICAO

APRESENTAO
SESSO TRANSPORTE

APRESENTAO
SESSO TRANSPORTE

REDE
ENLACE FSICA

REDE
ENLACE FSICA

SISTEMAS OPERACIONAIS DE REDE / MODELO OSI

APLICAO

APLICAO

APRESENTAO
SESSO TRANSPORTE

APRESENTAO
SESSO TRANSPORTE

REDE
ENLACE FSICA

REDE
ENLACE FSICA

Segurana

Ferramentas

NIKTO
Scanner para Web Server escrito em Perl, no qual pode ser utilizado para detectar vulnerabilidades em servidores Web Apache

NIKTO

Os testes realizados foram efetuados no seguinte ambiente

* Distribuio Opensuse 11.2 Gnu/Linux

* Kernel 2.6.31.5-0.1-desktop

* Perl 5.8.4

NIKTO

Baixando os pacotes necessrios O Nikto pode ser baixado no site http://www.cirt.net/nikto/ o link direto para download do script http://www.cirt.net/nikto/niktocurrent.tar.gz

NIKTO

muito simples a utilizao do script aps ter baixo para o seu computador o script descompacte em uma pasta utilizando o seguinte comando: tar -zxvf nikto-current.tar.gz Em meu caso ser criado a pasta com o script nikto-1.35 que a verso atual

NIKTO

Fazendo Update da base de dados Para fazer update com atualizaes da base de dados do Nikto utilize os comandos abaixo:

perl ./nikto.pl -update

NIKTO

Rodando o scanner Para rodar o scanner basta executar o comando abaixo perl ./nikto.pl -allcgi -h localhost

NIKTO

Flags importantes Algumas flags de comando importantes que podemos citar esto descriminadas abaixo com suas respectivas funcionalidades:

NIKTO

# -h: especifica o host a ser scanneado # -allcgi: executa todos os scripts internos do nikto para scanner o host desejado # -cookies: imprime os cookies encontrados # -evasion+: tcnica de invaso ids # -findonly: encontra apenas portas https, no executa o scanner completamente # -format: salva arquivo no formato (use -o) : htm, csv or txt # -generic: fora um scanner completo padro

NIKTO

# -host+: host alvo o mesmo que -h # -id+: usa autnticao no host no formato userid:password

# -nolookup: pula a resoluo de nomes

# -output+: escreve a saida do comando para arquivo # -port+: utilizado para indicar a porta do httpd (padro 80) # -ssl: fora scan em modo ssl # -timeout: tempo de timeout do servidor (padro 10 segundos)

NIKTO

# -useproxy: usa proxy configurados no config.txt # -version: imprime a verso dos plugins do banco de dados # -vhost+: virtual host ( para cabealho do host ) # -verbose: Apresenta a sada conforme o scan est rodando

Mos na massa

Testar os comandos bsicos do Nikto em algum host/site.....

WIRESHARK TUBARO DA REDE

WIRESHARK TUBARO DA REDE

Um capturador de pacotes uma ferramenta indispensvel para solucionar problemas. Os usurios de Linux costumavam observar suas redes com o popular e livre Ethereal. At mesmo Hollywood reconheceuaimportnciadessesoftwarenolme Firewall.

WIRESHARK
O Wireshark um aplicativo GPL que est disponvel para todos os sistemas operacionais com base no Unix, assim como para o Windows. Por padro, ele usa umainterfacegrca,mastambmhumaopoem modo texto, chamada tethereal claramente referindose ao antigo nome do software.

WIRESHARK

WIRESHARK
A arte da captura de pacotes de rede exige slidos conhecimentos de protocolos, alm da compreenso da forma como protocolos especficos so usados por aplicativos diferentes.

WIRESHARK
Como funciona???

O Wireshark funciona capturando todo o trfego de rede em uma ou mais interfaces de rede. Ao capturar pacotes na(s) interface(s), primeiro necessrio colocla(s) no modo dito promscuo (promiscuous mode).
- interface aceita todos os pacotes que chegarem para ela, mesmo que no sejam destinados mesma.

WIRESHARK
Um recurso especialmente til do programa a capacidade de rastrear streams TCP completas com a opo Follow TCP stream (Analyze | Follow TCP stream). Todos os pacotes que componham uma sesso (desde o primeiro SYN at o ltimo FIN-ACK) so exibidos. O recurso de stream-tracing permite que se siga sesses completas, como conversas pelo MSN Messenger ou sesses de navegao na Web.

WIRESHARK
Mos na massa!

NMAP - ZENMAP
Nmap uma ferramenta grtis distribudo sob regulamentos do GNU. Nmap e NmapNT tem como principais funes (fazer uma varredura) determinar quais hosts/nodes que esto disponveis na rede, que tipo de servios (port scanner) eles oferecem, que tipo de Sistema Operacional (verso do O.S.) esto rodando, que tipo de filtro/firewall esto sendo usados etc.

ZENMAP
Vamos l.... Usando o NMAP

Clique no atalho na rea de trabalho, cujo nome de Nmap - Zenmap GUI abrir a tela do NMAP abaixo:

NMAP - ZENMAP