Ferramentas de Segurana Parte 1

Introduo Senhores, dando continuidade a segurana no sistema operacional Linux, esta semana falarei sobre ferramentas que checam e auditam servidores e estaes, sejam estes Linux ou outros sistemas operacionais, bastando que rode o protocolo TCP/IP. Este artigo ser dividido em duas partes: Port scanners: basicamente, verifica portas do protocolo TCP/IP que esto abertas e o respectivo servio que est rodando; Security auditing: verifica nos servios que esto rodando as suas falhas de segurana e retorna a indicao para resoluo do problema.

No artigo desta semana iremos comear por Port Scanner. Relembrando um pouco de TCP/IP Vamos comear falando sobre o protocolo TCP/IP. Falaremos basicamente sobre os protocolos de transporte TCP e UDP. O TCP o protocolo de transporte que atualmente o mais utilizado na Internet, pois possui mtricas e a certeza de que o pacote ser entregue no endereo correto, j que ele orientado a conexo (connection-oriented), ou seja, ele s termina ou comea uma conexo se o destino responder a ele de acordo com vrios mecanismos, como nmeros de sequncia, acknowledgments, SYNS, flow control, timers etc. Para que estas conexes possam ser estabelecidas, o TCP utiliza portas nas quais ele estabelece as conexes entre o "source" e o "destination". Ao contrrio do TCP, o UDP no orientado a conexo(connectionless), por isso para a maioria dos servios que o TCP/IP oferece, o protocolo de transporte utilizado o TCP. Abaixo, alguns servios que o TCP oferece com as suas respectivas portas: Servio Telnet FTP SMTP HTTP POP3 Netbios Porta 23 21 25 80 110 139

Estes numeros foram definidos pelo Internet Assigned Numbers Authority (IANA - http://www.iana.org), pois para tudo existem padres, incluindo o TCP/IP. De acordo com este padro, portas menores do que 1024 so reservadas para servios j pr-determinados (telnet, FTP etc.) e as acima de 1024 para outros fins, como aplicaes de terceiros. No Linux, a definio da numerao das portas fica por conta do arquivo /etc/services. Existem outros servios que o TCP/IP oferece atravs do protocolo de transporte TCP. Existem tambm servios que so oferecidos pelo protocolo de transporte UDP, como: Servio DNS TFTP SNMP Bem, recordar viver! :-) Port Scanner Esta ferramenta foi criada para verificao de Hosts, para disponibilizar ao administrador de rede quais servios esto ativos e suas respectivas portas. Porta 53 69 161

Estes servios ficam "escutando" atravs de suas portas, para que em uma requisio de uso do servio ele possa se conectar com o cliente e disponibiliz-lo para este. Exemplo: Quando se direciona o browser (Netscape, Lynx etc.) para um determinado site, este requisita o servio HTTP no Web Server (seja ele Apache, IIS, ou qualquer outro). Este servio, por sua vez, est "escutando" atravs da porta 80. Ento, assim que a conexo estabelecida, este servio disponibilizado para o cliente, neste caso o browser. A que mora o "perigo", da mesma forma como voce s queria ler a pgina, outras pessoas mal intencionadas podem tentar invdilo atravs desta porta 80, ou de outras que rodam outro tipo de servio, utilizando de tcnicas de invaso como IP Spoofing, exploits, DoS etc. Nessa hora entra o Port Scanner para o administrador de redes, pois direcionando ele para a mquina destino, pode-se ver quais servios esto "escutando" e suas respectivas portas. Vendo isto podemos verificar a real necessidade destas portas estarem abertas e, no caso da no necessidade, fechar os servios correspondentes atravs do arquivo /etc/inetd.conf. NMAP Para este artigo sobre Port Scanner, eu escolhi usar como exemplo o NMAP, pois na minha opinio o mais completo. Aps baixar o arquivo no formato que preferir (RPM, DEB, tgz ou source), instale-o de acordo com o arquivo escolhido. Caractersticas: A sintaxe bsica do Nmap : nmap <opo> <ip address ou host name> Exemplo: bash-2.04$ nmap 192.168.10.2 Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on presario.earth.com (192.168.10.2): (The 1515 ports scanned but not shown below are in state: closed) Port 21/tcp 23/tcp 79/tcp 110/tcp 139/tcp State open open open open open Service ftp telnet finger pop-3 netbios-ssn

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second Nota: Neste exemplo, ele simplesmente conecta ao host destino e testa todas as portas, sendo que as que ele consegue se conectar, ele exibe como o exemplo. Alm da idia bsica de varrer portas abertas na mquina destino, o nmap tambm possui diversas outras tcnicas de scanning. Vou relacionar algumas opes para utilizar com o NMAP. Exemplos: bash-2.04# nmap -sP 192.168.10.* Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Host (192.168.10.0) seems to be a subnet broadcast address (returned 1 extra pings). Skipping host. Host prod (192.168.10.1) appears to be up. Host presario.earth.com (192.168.10.2) appears to be up. Host (192.168.10.255) seems to be a subnet broadcast address (returned 1 extra pings). Skipping host. Nmap run completed -- 256 IP addresses (2 hosts up) scanned in 3 seconds Nota: esta opo (-sP), verifica todos os hosts que esto ativos no momento, no caso,ele verificou todos IPs que comeavam com o endereo 192.168.10.* e encontrou os IPs 192.168.10.1 e 192.168.10.2.

bash-2.04# nmap -O presario Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on presario.earth.com (192.168.10.2): (The 1515 ports scanned but not shown below are in state: closed) Port 21/tcp 23/tcp 79/tcp 110/tcp 139/tcp State open open open open open Service ftp telnet finger pop-3 netbios-ssn

TCP Sequence Prediction: Class=random positive Difficulty=1422338 (Good luck!) Remote operating system guess: Linux 2.1.122 - 2.2.14 Nmap run completed -- 1 IP address (1 host up) scanned in 1 second Nota: com esta opo (-O), alm das portas abertas, ele identifica qual o sistema operacional est rodando, a possvel verso do kernel (no caso do Linux) e o grau de dificuldade para a invaso (Difficulty). Existem diversas outras opes para o NMAP, leitura obrigatria da man page do mesmo (man nmap), pois traz muita informao sobre "Network Scanning". Alm do modo texto, tambm existe o NMAP (xnmap) para modo grfico.

Fronted do NMAP para modo grfico Concluso Parte 1 claro que existem diversos outros Port Scanners, mas a idia no mostrar todos os que existem na rede - isso eu deixo para sites especificos que s tratam sobre aplicativos como o Freshmeat - mas sim como eles funcionam,e espero ter conseguido. :-)

Ferramentas de Segurana Parte 2

Irei falar da ferramenta de auditoria em segurana (Security Auditing Tools) para Linux mais eficiente (na minha opinio): Nessus. Instalando Bem,o projeto Nessus foi desenvolvido com a finalidade de ser o melhor Security Auditing Tool (no quer dizer que seja, mas na minha opinio , no desmercendo outros), o mais customizvel e amigvel. Uma das caractersticas do Nessus que na sua instalao default, o cliente grfico. Vejamos quais arquivos so necessrios para a instalao. Estes pacotes devem ser instalados nesta mesma sequncia, so eles: nessus-library (biblioteca proprietria necessria); libnasl (Nessus Atack Script Language); nessus-core (arquivos binrios como o daemon "nessusd" e o cliente "nessus"); nessus-plugins (plugins em C, para simular ataques).

Os arquivos voc encontra no FTP do projeto. Eles esto em formato tar.gz. Para a instalao, voc seguir sempre a mesma sequncia, tanto na ordem dos arquivos, como na compilao. Para os arquivos siga a sequncia acima e para a compilao siga a abaixo: tar zxvf pacote.tar.gz cd pacote ./configure make

Agora vo tem que estar como root: make install

Alm destes pacotes,voc precisar tambm ter instalada a biblioteca GTK+ para o cliente grfico ( provvel que voce j a tenha instalada em seu sistema) e o NMAP (o Nessus utiliza ele para rastrear portas). Nessus Depois de instalar tudo que for necessrio, vamos colocar para funcionar. Para que funcione tudo certinho vamos seguir esta sequncia. Primeiro precisamos criar o usurio para que possamos atravs do cliente acessar o daemon "nessusd". Como root, digite o seguinte comando: nessus-adduser Ele vai pedir o nome do login, pode ser qualquer um, no precisa ser necessariamente o que voce utiliza no Linux. Depois ele pede o tipo de autenticao - mantenha o padro (cipher), neste caso o usurio vai utilizar o cliente grfico. Depois ele perguntar se voc quer que este novo usurio s possa acessar o servidor "nessusd" atravs de uma nica mquina (host) ou rede (network) - a nvel de teste voc pode colocar o padro "anywhere", ou seja, ele poder se logar no servidor de qualquer lugar. Depois ele pedir a senha e por ltimo ele perguntar o User Rules no qual voc tambm pode restringir quais hosts este usurio pode testar - neste teste deixemos em branco. Para terminar a criao deste usurio samos com a sequncia de teclas "Ctrl+D" e se tudo estiver correto digite "y". Criamos assim o usurio. Vamos iniciar o servidor digitando, tambm como root: nessusd &. Agora iniciemos o cliente. Voc no precisa estar como root, mas sim em uma sesso do X-Window, pois o cliente escrito em GTK. Atravs do xterm, gnome-run ou outra forma que voc utilize para iniciar processos no seu ambiente grfico, digite: nessus

A primeira tela que aparece uma tela que gera uma chave para o seu usurio, mas ela s aparecer uma vez por usurio. A tela esta:

Depois ele ir lhe pedir uma frase ou nome como password. Digite o nome de alguma coisa que faa sentido para voc. No se esquea, pois da prxima vez que voc executar o cliente ele s lhe perguntar esta frase ou nome. A tela a seguinte:

Aps voc digitar a frase ou nome que voce escolheu o Nessus j ir lhe apresentar a tela do cliente, que a seguinte:

Para voce se logar no servidor digite o nome do usurio que voce com o nessus-adduser aperte o boto "Log in" e depois digite a senha na prxima tela.Assim voce j est logado no servidor nessusd. Vamos descrever o que se pode configurar no cliente do Nessus. Nessusd Host: Nessusd Host: neste campo voc digita o IP ou o nome da mquina onde se encontra o nessusd (no nosso caso ele se encontra na mesma mquina em que estamos rodando o cliente). Port: a porta no qual o servidor est aceitando conexo. Encryption: tipo de encripitao que est sendo feito pela rede. Login: o nome do usurio que voce criou l atrs. Plugins: Voc habilita os diversos plugins que foram instalado anteriomente atravs do pacote nessus-plugins, deixe-me listar alguns dos plugins, para voc ter uma idia: Finger Abuses Windows Backdoors CGI abuses Remote file access Firewalls SMTP problems FTP Gain root remotely

No pense que todos estes plugins faro o que dizem, eles se baseiam em falhas de sistemas que j so conhecidas e algumas no. Outro detalhe: voc pode criar seus prprios plugins. Alguns destes plugins podem at travar mquinas indevidamente configuradas. Aps voc digitar a frase ou nome que escolheu o cliente Nessus j ir lhe apresentar a tela de acesso, que a seguinte: Prefs: Aqui voc configura diversas opes de preferncia. Scan options: Aqui voc configura o port scanner e o nmero de portas que voc quer que ele vasculhe. Target Selection: Aqui voc coloca o nome, o IP do servidor, ou arquivo com lista de servidores que voc quer testar. User: Preferncias do usurio que voc criou com o nessus-adduser. Funcionando Aps voc ter entrado com o nome do host que voc quer testar e ter escolhido os plugins que voc quer usar neste host, basta apertar o boto "Start the scan". A ele apresentar a seguinte janela, ou seja, quando comea o "trabalho sujo" :-):

Aps ele terminar o "trabalho sujo", ele mostrar o Nessus Report, a fica fcil, s verificar os erros que ele apontar, e corriglos:

Vejamos um report que ele mostra (e bastante conhecido), e veremos que ele tambm mostra como resolver o problema:

Alternativas Existem outras ferramentas de auditoria em segurana, como o SAINT (Security Administrator's Integrated Network Tool). Esta ferramenta foi desenvolvida baseada no antigo SATAN (Securty Administrator Tool for Analyzing Networks). No se espante com os nomes, o SAINT tambm uma excelente ferramenta de auditoria em segurana e uma das maiores diferenas do SAINT em relao ao Nessus que ele roda atravs do browser. Seu endereo : http://www.wwdsi.com/saint/ Concluso Estas ferramentas, se bem utilizadas, podem deixar o seu host muito mais seguro. No se esquea de sempre estar com as ltimas verses, pois furos de segurana so descobertos diariamente. Fechamos assim estes dois artigos sobre ferramentas para segurana.