Curso Seg Da Informacao V3

SEGURANA DE REDES
William da Silva Vianna Dsc Instituto Federal Fluminense
ROTEIRO
1 - Introduo; 2 - Segurana de redes e sistemas; 3 - Segurana em redes sem fio; 4 - Auditoria e anlise forense.
IFF
wvianna@iff.edu.br
INTRODUO
CONTEDO PROGRAMTICO RESUMIDO
- Conceitos bsicos da rea de segurana; - O perfil dos invasores de sistemas; - Complexidade e conhecimento; - Estatstica de incidentes de segurana; - Consideraes;
IFF
wvianna@iff.edu.br
INTRODUO Vdeo animado sobre a Internet
CGI.br- Comit Gestor da Internet no Brasil
videos/cgi-navegar-g.wmv
IFF
wvianna@iff.edu.br
INTRODUO
Desde o surgimento da Internet, a busca por melhores estratgias de segurana tem aumentado consideravelmente, tendo em vista milhares de ataques segurana da informao, causando perdas e pnico. Esses ataques tm causado prejuzos financeiros e de imagem para empresas, instituies e pessoas fsicas. Polticas de acesso e uso, firewalls, sistemas de deteco de intrusos, projetos de rede, backups, entre outros; tem sido as armas defensivas nesta guerra da informao.
IFF wvianna@iff.edu.br 5
INTRODUO Conceito de segurana de computadores

Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos bsicos relacionados aos recursos que o compem:
confidencialidade, integridade e disponibilidade.

A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destruda ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema esto disponveis sempre que forem necessrios.
IFF
wvianna@iff.edu.br
INTRODUO Conceito de incidente de segurana

Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana: * tentativas de ganhar acesso no autorizado a sistemas ou dados; * ataques de negao de servio; * uso ou acesso no autorizado a um sistema; * modificaes em um sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; * desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa ou provedor de acesso.
INTRODUO Conceito de vulnerabilidade

Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. Fonte de pesquisa - http://www.securityfocus.com/vulnerabilities
IFF
wvianna@iff.edu.br
INTRODUO Estimativas de 5 a 50 bugs/Kloc

Linhas de cdigo (Kloc) 400 17.000 40.000 10.000 7.000 35.000 1500 40.000 5.000
IFF
Sistema
Solaris 7 Netscape Estao espacial nibus espacial Boing 777 Win2000 Linux Windows XP Celular (Smart)
wvianna@iff.edu.br 9
INTRODUO Conceito de malware

Cdigo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa especificamente desenvolvidos para executar aes maliciosas em um computador. Na literatura de segurana o termo malware tambm conhecido por "software malicioso". Alguns exemplos de malware so: * vrus; * worms e bots; * backdoors; * cavalos de tria; * keyloggers e outros programas spyware;
IFF
* rootkits.
wvianna@iff.edu.br
10
INTRODUO Vdeo sobre malware
videos/cgi-invasores-g.wmv
IFF
wvianna@iff.edu.br
11
INTRODUO Conceitos de segurana fsica e lgica

Lgica Proteo dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, polticas de segurana, monitorao constante do trfego de rede, atualizao dos sistemas vulnerveis, controle de acesso lgico por permisses, etc; Fsica Arquitetura de rede segura, restrio do acesso fsico, poltica e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia eltrica initerrupta (geradores e no-breaks), etc.
INTRODUO Conceitos de segurana fsica e lgica

Segurana fsica
IFF
wvianna@iff.edu.br
13
INTRODUO O perfil dos invasores de sistemas
Script Kid - o principiante que aprendeu a usar alguns programas prontos para descobrir senhas ou invadir sistemas (receitas de bolo), entrou num provedor de fundo de quintal e j acha que vai conseguir entrar nos computadores da Nasa. Tambm conhecido como Lammer; Larva - este j est quase se tornando um hacker. J consegue desenvolver suas prprias tcnicas de como invadir sistemas;
IFF
wvianna@iff.edu.br
14

Lammer - indica uma pessoa que acredita que um hacker (decifrador), demonstra grande arrogncia, no entanto sabe pouco ou muito pouco e geralmente malicioso. Utilizam ferramentas criadas por Crackers para demonstrar sua suposta capacidade ou poder, na inteno de competir por reputao, no entanto so extremamente inconvenientes para convvio social, mesmo com outros hackers. Algumas pessoas acreditam que essa uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade.

Newbie, Noob ou a sigla NB - vem do ingls "novato". Indica uma pessoa aprendiz na rea, ainda sem muita habilidade, porm possui uma sede de conhecimento notvel. Pergunta muito, mas freqentemente ignorado ou ridicularizado por outros novatos que j saibam mais do que ele (ao contrario dos lammers que so ridicularizados por todos). Hackers experientes normalmente no ridicularizam os novatos, por respeito ao desejo de aprender - no entanto, podem ignor-los por falta de tempo ou pacincia.
Phreaker - corruptela do ingls "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto um decifrador aplicado area de telefonia (mvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Os Phreakers tambm se enquadram no conceito de White hat ou Black hat.

Hacker - tem conhecimentos reais de programao (geralmente C, C++ e Assemble) e de sistemas operacionais, principalmente o Unix, o mais usado nos servidores da Internet. Conhece as falhas de segurana dos sistemas e procura achar novas. Desenvolve suas prprias tcnicas e desprezas as "receitas de bolo". Dificilmente divulga seus conhecimentos. Infelizmente este termo utilizado de forma pejorativa, o verdadeiro Hacker conhece o sistema operacional e trabalha para resolver problemas e no cri-los;

White hat (hacker tico) o hacker interessado em segurana. Utiliza os seus conhecimentos na explorao e deteco de erros de concepo, dentro da lei. A atitude tpica de um white hat assim que encontra falhas de segurana a de entrar em contacto com os responsveis pelo sistema e informar sobre o erro, para que medidas sejam tomadas. Hackers white hats ministram palestras (ou aulas em universidades) sobre segurana de sistemas, e at trabalhando dentro de empresas para garantir a segurana dos dados.

Gray hat - Tem as habilidades e intenes de um hacker de chapu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propsitos menos nobres. Um hacker de chapu cinza pode ser descrito como um hacker de chapu branco que s vezes veste um chapu preto para cumprir sua prpria agenda. Hackers de chapu cinza tipicamente se enquadram em outro tipo de tica, que diz ser aceitvel penetrar em sistemas desde que o hacker no cometa roubo, vandalismo ou infrinja a confidencialidade.
Black hat - (cracker ou dark-side hacker), indica um hacker criminoso ou malicioso, comparvel a um terrorista. Em geral so de perfil abusivo ou rebelde, muito bem descritos pelo termo "hacker do lado negro" (uma analogia srie de filmes Star Wars). Geralmente especializado em invases maliciosas e silenciosas, so os hackers que no possuem tica. Invade sistemas afim de dar problemas algo ou algum.
Cracker - do ingls "quebrador", originalmente significa algum que "quebra" sistemas. Hoje em dia, pode tanto significar algum que quebra sistemas de segurana na inteno de obter proveito pessoal (como por exemplo modificar um programa para que ele no precise mais ser pago), como tambm pode ser um termo genrico para um Black Hat.
IFF
wvianna@iff.edu.br
22
Warez - Primariamente se refere ao comrcio ilegal (pirataria) de produtos com direitos autorais. Este termo geralmente se refere a disponibilizao por meio de grupos organizados, fazendo o uso das redes peer-to-peer, do compartilhamento de arquivos (ficheiros) entre amigos ou entre grandes grupos de pessoas com interesses similares.
IFF
wvianna@iff.edu.br
23
Virii o especialista em desenvolver vrus para computador. Guru ou Coder - o supra-sumo dos hackers, usa seus conhecimentos para o bem. No persegue, pelo contrrio, sofre a perseguio.
IFF
wvianna@iff.edu.br
24

Phishing - Em computao, phishing uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sensveis, tais como senhas e nmeros de carto de crdito, ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial, como um correio ou uma mensagem instantnea. O termo Phishing surge cada vez mais sofisticadas artimanhas para "pescar" (do ingls fish) as informaes sensveis dos usurios. Tipos de mensagens eletrnicas utilizadas: roubo de identidade, roubo de informaes bancrias e recados no Orkut ("scraps").
INTRODUO O perfil dos invasores de sistemas;

Spammer - autor do envio em massa de mensagens no-solicitadas. Geralmente maliciosas. Os tipos mais comuns so: - Propagandas (spam); - Boatos (hoaxes); - Correntes (chain letters); - Golpes (scam); - Estelionato (phishing); - Programas maliciosos (Vrus, Worms, Cavalos de Tria, keylogger, screenlogger); - Ofensivos.
INTRODUO Vdeo sobre spam
videos/cgi-spam-g.wmv
IFF
wvianna@iff.edu.br
27
INTRODUO Complexidade versus conhecimento
IFF
wvianna@iff.edu.br
28
INTRODUO Incidentes reportados ao CERT.br
IFF
wvianna@iff.edu.br
29
INTRODUO Proxy aberto - CERT.br

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Telemar Norte Leste Telesp Brasil Telecom Global Village Telecom NET Servicos de Comunicacao Vivax Claro Vivo CTBC Telecom Embratel Tim Celular Way TV Belo Horizonte Telefonica Data LocaWeb Acom Comunicacoes
Agosto 2009
IFF
wvianna@iff.edu.br
30
INTRODUO Tipos de ataques acumulados Jan-Mar2009
IFF
wvianna@iff.edu.br
31
INTRODUO Incidentes reportados ao CAIS - RNP
IFF
wvianna@iff.edu.br
32
INTRODUO Consideraes

Segurana da informao tem que ser considerao permanente de qualquer projeto de TI; No existe segurana absoluta; A segurana sempre uma questo de economia; A segurana antagnico ao desempenho; O atacante no passa pela segurana, mas em torno dela; Organize suas defesas em camadas; uma m idia contar com a segurana por meio da obscuridade; Mantenha a coisa simples; Se no usado um programa ou protocolo, no importa se eles tm vulnerabilidades; Informaes sobre (in)segurana so abundantes; A situao tende a ficar cada vez pior !
IFF
INTRODUO Vdeo sobre defesa para clientes da Internet
videos/cgi-defesa-g.wmv
IFF
wvianna@iff.edu.br
34
SEGURANA DE REDES E SISTEMAS
CONTEDO PROGRAMTICO RESUMDO

- Etapas de um ataque; - Tipos de ataque; - Riscos, ameaas e vulnerabilidades; - Fontes de (in)segurana; - Medidas de segurana.
IFF
wvianna@iff.edu.br
35
PR-REQUISITOS BSICOS DESEJVEIS

1 - Sistemas operacionais - Comandos bsicos GNU/Linux; - Gerenciamento de processos; - Estrutura de diretrios; 2 Protocolos - Endereamento IPv4; - Roteamento IPv4; - Noes de TCP e UDP (diferenas, portas, flags); - Noes de ICMP; 3 Equipamentos de rede - Funcionamento bsico do Switch, HUB, roteador, AP.

Etapas de um ataque
As tcnicas utilizadas para se planejar um ataque, so:
Footprinting Obteno de informaes
Scanning Identificao de servios ativos
Enumeration Identificao dos recursos que fornecem os servios

Footprinting

Footprinting refere-se ao ato de coletar informaes sobre o sistema alvo. Um atacante sempre ir recolher o mximo de informaes importantes sobre todos os aspectos de segurana de uma organizao. Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informaes de uma grande variedade de fontes e compilar esse Footprinting. Alguns recursos disponveis:

IFF
www.internic.net whois.nic.gov www.google.com www.registro.br


Footprinting
Exemplos de ferramentas: Consulta do DNS e bases Whois; dig; nslookup; whois; rndc; Maltego; Consutla de rotas; Traceroute; Cheops;

Scanning
O scanning tenta identificar os servios ativos:

Identificam servios TCP/UDP; Arquitetura do sistema (Sparc, Alpha, x86); Faixas de IPs. Ping sweeps; Port scans; Identificao de sistemas operacionais.
Tcnicas utilizadas:

IFF

Scanning
Exemplos de ferramentas: Mquinas ping; nmap; Cheops; Sistema operacional nmap; Cheops;

Ennumeration
Processo de extrair dos sistemas alvos contas vlidas, recursos que esto expostos, falta de pathing; mais intrusivo que o footprinting e o scanning; Tcnicas:

IFF
Coletas de nomes de usurios e grupos; Banners de sistemas; Tabelas de roteamento; Informaes SNMP;

Ennumeration
Exemplos de ferramentas: Servios Mquinas nmap; nmap; Nessus; Cheops; Sara; Sistema operacional Telnet nmap; (banner); Cheops; Vulnerabilidades Nessus; Retina; wvianna@iff.edu.br Sara;
IFF
43

Ennumeration
Exemplos de ferramentas: Contas (login e senha) Sniffers rede local Tcpdump; Ethereal; Ethercap; Etterape; MsnShadow; SPY; John; Brutus; Cain; SpyArsenal (KL); All In One (KL) SI Advanced (KL) Ardamax (KL) GPCS (SL) ScreenLogger (SL)
44
IFF
wvianna@iff.edu.br

Tipos de Ataques

Footprinting Explorao de Bugs BackDoors Arp cache poisoning Denial of Service ( DoS ) Distributed Denial of Service ( DDoS ) SYN Flooding Syn sniping Ping of death Buffer overflow Stack overflow
IFF
Smurf Attacks IP Spoofing IP sequence prediction IP fragementation Flooding Port Scanners Password Crackers Hijacking Attacks Phishing Pharming DNS Botnet
45
wvianna@iff.edu.br

Alguns tipos de ataque (1/11)
Denial Of Service - DOS
O objetivo principal de ataques do tipo DoS, bastante simples: indisponibilizar servidores de rede. Os ataques DoS afetam diretamente a implementao do IP, o que os torna mais hostis, uma vez que a implementao do IP varia muito pouco de plataforma para plataforma.
IFF
wvianna@iff.edu.br
46

Alguns tipos de ataque (2/11) Distributed Denial of Service
Agente
Vtima Internet Atacante Master
Agentes

Alguns tipos de ataque (3/11) SYN Flooding
Conexo SYN - Estabelecimento de conexo em 3 etapas do TCP: 1) SYN enviado do cliente 2) SYN/ACK enviado do servidor 3) ACK enviado do cliente Cliente Servidor
IFF
wvianna@iff.edu.br
48

Alguns tipos de ataque (4/11) Hijacking Attack
O sequestro ( hijacking ) de TCP oriundo de um descuido fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execuo de comandos em um host remoto. Existem produtos disponveis na Internet que colocam a teoria do hijacking em prtica, como o Juggernaut e o Hunt.
IFF
wvianna@iff.edu.br
49

Alguns tipos de ataque (5/11) Smurf Attack
Pacote ICMP ECHO falsificado contendo IP v;alido na rede da vtima Conexo RDSI
INTERNET Atacante Rede Amplificadora

Link T3 de 45 mbps
Rede da vtima
Link T1 de 1,544 mbps
IFF
wvianna@iff.edu.br
50

Alguns tipos de ataque (6/11) IP Spoofing
Atacante
INTERNET
Confivel com atacante Sobrecarga em Y Origem forjada em Y Pedido de conexo
Host Y
IFF wvianna@iff.edu.br
Host X
51

Alguns tipos de ataque (7/11) Port Scanning o processo de se conectar a portas TCP e UDP do sistema-alvo para determinar quais servios esto sendo executados ou em estado de escuta. Pode identificar o tipo de sistema operacional do sistema-alvo. Identifica aplicativos ou verses especficas de um servio em particular.

Alguns tipos de ataque (8/11) Tcnicas de Port Scannings
Existem vrias tcnicas empregas para realizao do scanning no dispositivo alvo. So elas:
TCP Connect() ou Dumb Scan TCP SYN Scan ou Half Scan UDP Scan Stealth Scan Null Scan FIN Scan Xmas Tree ICMP ou Ping Sweep RPC Scan FTP Proxy ou bounce Scan
IFF

Alguns tipos de ataque (9/11) Sniffers Sniffers ou analisadores de trfego como tambm so conhecidos, so dispositivos que capturam os pacotes que esto trafegando pela rede. Estes analisadores, a princpio, podem ser utilizados para analisar o trfego de rede e identificar reas que esto sofrendo com problemas de trfego. Devem trabalhar em promiscous mode
Alguns tipos de ataque (10/11) Password Crackers Password Crackers so ferramentas de simulao que empregam os mesmos algoritmos usados na criptografia de senhas. Estas ferramentas executam anlises comparativas para checar a validao das senhas.
IFF
wvianna@iff.edu.br
55

Alguns tipos de ataque (11/11)
Buffer Overflow (estouro de buffer)

uma tcnica utilizada para explorar bugs que geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (rea temporria para armazenamento de dados) do que o previsto. O buffer criado para conter uma quantidade finita de dados. Quando esta rea ultrapassada ocorre o estouro possibilitando o desvio do programa para operaes no previstas. Esta tcnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e at mesmo servidores.
IFF

Riscos, ameaas e vulnerabilidades (1/2)
Riscos ao Hardware: BIOS USB devices Cell phones Removable storage Network attached storage
ActiveX Java Scripting Browser Buffer overflows Cookies SMTP open relays Instant messaging P2P Input validation
Riscos s aplicaes: Riscos aos protocolos:

TCP/IP hijacking Null sessions Spoofing Man-in-the-middle Replay DOS DDOS Domain Name Kiting DNS poisoning ARP poisoning
Ameaas como: Privilege escalation Virus Worm Trojan Spyware Spam Adware Rootkits Botnets Logic bomb
IFF
Cross-site scripting (XSS)
wvianna@iff.edu.br
57

Riscos, ameaas e vulnerabilidades (2/2)
Fsicas Physical access logs/lists Hardware locks Physical access control ID badges Door access systems Man-trap Physical tokens Video surveillance camera types and positioning
Dispositivos Privilege escalation Weak passwords Back doors
Autenticao Biometric reader RADIUS RAS LDAP
Default accounts Remote access policies DOS Remote authentication

VPN Kerberos CHAP PAP Mutual 802.1x
IFF
wvianna@iff.edu.br
TACACS
58

As fontes de (in)segurana
http://www.sans.org http://www.securityfocus.com http://www.cert.org http://www.us-cert.gov http://nvd.nist.gov/home.cfm http://www.first.org/ http://cve.mitre.org/ http://xforce.iss.net/ http://www.securiteam.com www.insecure.org http://www.wirelessve.org/ http://packetstormsecurity.org http://www.milw0rm.com/ http://www.securiteam.com/exploits http://insecure.org/sploits.html http://www.c4ads.org http://www.nsa.gov/SNAC/ http://www.gocsi.com/ http://www.technewsworld.com/perl/sectio n/security
IFF
wvianna@iff.edu.br
59

Medidas de segurana (1/17)
Definio da poltica de segurana e poltica de uso aceitvel;

Elaborao de uma arquitetura de rede segura; Elevao do nvel de segurana dos hosts;
Monitorao contnua do trfego da rede e dos servios;
Definio de testes peridicos procura de vulnerabilidades.
IFF
wvianna@iff.edu.br
60

Algumas caracterstica da polticas de segurana e poltica de uso.
Definir regras para evitar a quebra de uma ou mais de suas trs propriedades fundamentais: confidencialidade, integridade e disponibilidade.
Atribui direitos e responsabilidades s pessoas que fazem uso dos recursos.
Definir direitos e responsabilidades do provedor dos recursos.
Especificar aes previstas em caso de violao da poltica.
IFF
wvianna@iff.edu.br
61

Arquitetura de rede segura, na medida do possvel, deve contemplar:
Least Privilege; Choke Point; Defense In Depth; Weakest Link; Fail Safe; Universal Participation; Diversity of Defense; Simplicity; Type Enforcement (permisso).
IFF

Firewall
O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurana. Os componentes bsicos para a construo de um firewall so: Packet Filters: so responsveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede.
Bastion Host: computador responsvel pela segurana de um ou mais recursos (servios) da rede.
IFF
wvianna@iff.edu.br
63

Filtro de pacotes (Packet Filters):
Hardware; Software de interao (http://www.netfilter.org/); IPTables - Linux 2.4 e 2.6. IPChains - Linux 2.2 e 2.4. IPFWADM - Linux 2.0.
O filtro de pacotes apenas um dos elementos do Firewall.
IFF
wvianna@iff.edu.br
64

Algumas distribuies GNU/Linux criadas especialmente para implementar firewall de rede:
Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall, IPCop Firewall, Linux LiveCD Router, m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta

Algumas arquiteturas de Firewall. Esquema de atuao de um Screening Router.
IFF
wvianna@iff.edu.br
66

Algumas arquiteturas de Firewall. Esquema de uma arquitetura Sreened Subnet.
IFF
wvianna@iff.edu.br
67

Algumas arquiteturas de Firewall. Esquema da arquitetura Screened Subnet utilizando um nico roteador.
IFF
wvianna@iff.edu.br
68

Algumas arquiteturas de Firewall. Esquema da arquitetura Screened Host.
IFF
wvianna@iff.edu.br
69

Elevao do nvel de segurana dos hosts:
IFF
Particionamento adequado dos discos rgidos dos servidores; Desativao de servios desnecessrios; Definio de senhas seguras; Atualizao peridica dos servidores; Equipamentos e procedimentos Backup; Leitura peridica de logs; Configurao de filtragem de pacotes nos servidores; Definio da administrao remota segura; Controle de acesso a proxies WEB; Controle de acesso a sites indesejados; Remoo de shell desnecessrios; Segurana fsica dos servidores; Servidor de e-mail com antivrus, antispam, relay fechado.
wvianna@iff.edu.br
70

Tcnicas de defeco de intruso.
IDS Sistemas de Deteco de Intruso Monitorao do sistema de arquivos: Tripwire; Aide. HoneyPot (pote de mel) DTK; PortSentry; NIDS Sistema de Rede para Deteco de Intruso
Snort.

Medidas de segurana (13/17) LOGHOST
Um LogHost centralizado um sistema dedicado coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositrio redundante de logs.
IFF
wvianna@iff.edu.br
72

Leitura de Logs: /var/log/messages /var/log/secure /var/log/maillog /var/log/xferlog last lastlog Outras formas de monitorao de logs: Logcheck LogWatch Colorlogs
IFF

Logs de comandos do Shell; .bash_history Deteco de sniffers; AntiSniff Deteco de rootkits; Aide; Chrootkit; Tripware; Rkhunter; Kem_check; Lsat; Sam Hain; Lynis; Prelude.
IFF
wvianna@iff.edu.br
74

Verificar o que esta sendo executado: ps aux netstat vat lsof fuser av porta/protocolo who w
IFF
wvianna@iff.edu.br
75

Monitorao contnua do trfego da rede e dos servios. MRTG; Sarg; Webalizer; Snort; Nagios; Driftnet; Etherape; AutoScan. Definio de testes peridicos procura de vulnerabilidades. Nessus; Retina.
SEGURANA DE REDES SEM FIO

CONTEDO PROGRAMTICO RESUMIDO - Noes de rdio frequncia; - Auditoria de redes sem fio; - Ataques a redes sem fio; - Trfego 802.11: conceitos, anlise e captura; - Metodologias de auditoria; - Ferramentas de auditoria; - Sistemas de Deteco de Intrusos (IDS) em redes WLAN; - Implementao de WLAN domstica e corporativa com maior nvel de sergurana;
1 - Sistemas operacionais Comandos bsicos GNU/Linux; Instalao e compilao de programas GNU/Linux; 2 Protocolos Noes: IP, TCP, UDP, ICMP; Noes de protocolos e servios.
IFF
wvianna@iff.edu.br
78
SEGURANA DE REDES SEM FIO Classificao das redes sem fio

So muitas e diversas, mas normalmente classificadas por sua rea de cobertura:
WWAN 3G, IEEE 802.20, EV-DO/EV-DV; WMAN WiMAX, baseado no padro IEEE 802.16.
WLAN Baseado em IEEE 802.11, produtos certificados como Wi-Fi (Foco do curso);

WPAN Bluetooth (IEEE 802.15) e IR (Infrared) .

IFF
SEGURANA DE REDES SEM FIO Fundamentos de radiofreqncia

Sinais de corrente alternada (AC) de alta freqncia. Irradiados pelo ar na forma de ondas de rdio com o auxlio de antenas. Ondas se propagam seguindo certos princpios de fsica que abordaremos nesta Sesso de Aprendizagem. Propagao das ondas depende do tipo de antena: Omnidirecional Semidirecional Altamente direcional

Propagao inconsistente. Interferncias externas. Comportamento: Diferenas de impedncia entre cabos e conectores causa perda de sinal Ganho e perda de sinal Reflexo, refrao, difrao, espalhamento
IFF
wvianna@iff.edu.br
81

Ganho Unidade: dBi Aumento na amplitude de um sinal de RF Normalmente um processo ativo, mas pode ser passivo por sinais refletidos Perda Diminuio na fora de um sinal RF inversamente proporcional distncia percorrida Diversos fatores podem causar perda
IFF
wvianna@iff.edu.br
82
SEGURANA DE REDES SEM FIO WLAN - Freqncias utilizadas no Brasil
IFF
wvianna@iff.edu.br
83
SEGURANA DE REDES SEM FIO Padres

Padres IEEE Camada fsica (PHY) 802.11 2.4GHz 802.11a 54Mbps a 5GHz 802.11b 11Mbps a 2.4GHz 802.11g 54Mbps a 2.4GHz 802.11n 600Mbps a 2.4GHz
IFF
wvianna@iff.edu.br
84

Outros padres IEEE 802.11 Padres importantes 802.11i Melhorias para segurana (CCMP e TKIP) 802.11k Radio Resource Management 802.11m Corrects and clarifications to IEEE 802.111999 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11r Fast Roaming 802.11s Wireless Mesh Networks 802.11t Wireless Performance Prediction 802.11u Internetworking with External Networks 802.11v Wireless Network Management

Outros padres IEEE Outros padres 802.11c Bridge Operation Procedures 802.11d Operao sob outras Regulaes 802.11e QoS e Multimdia 802.11h Spectrum and Transmit Power 802.11j Operao no Japo a 4.9 e 5.1GHz 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11w Protection of Management frames 802.11y Novo padro para a banda 3.65-3.7GHz ISM
IFF
wvianna@iff.edu.br
86

Outros padres IEEE Outros padres 802.11c Bridge Operation Procedures 802.11d Operao sob outras Regulaes 802.11e QoS e Multimdia 802.11h Spectrum and Transmit Power 802.11j Operao no Japo a 4.9 e 5.1GHz 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11w Protection of Management frames 802.11y Novo padro para a banda 3.65-3.7GHz ISM
IFF
wvianna@iff.edu.br
87
SEGURANA DE REDES SEM FIO WLAN equipamentos e acessrios (1/2)
AP
Access Point Elemento-chave de uma WLAN Ponto de acesso rede cabeada Principais modos Root (padro) Repeater Bridge
IFF
wvianna@iff.edu.br
88
SEGURANA DE REDES SEM FIO WLAN equipamentos e acessrios (2/2)
AP
Broadband Routers versus Access Point;
Opes tpicas:
Potncia ajustvel; Firewall bsico; Antenas destacveis; Filtro por MAC; Servidor DHCP para WLAN e LAN (portas RJ-45); Atualizao de Firmware.
IFF
wvianna@iff.edu.br
89
SEGURANA DE REDES SEM FIO Configurao de clientes
Windows

Plataforma nativa de praticamente todas as interfaces Wireless Zero Configuration Service (WZCSVC) Sem suporte a RFMON - captura de quadros 802.11 de gerenciamento Esquemas mais comuns Autenticao: WEP (inseguro), WPA, WPA-PSK, WPA2, WPA2-PSK Criptografia: TKIP (WPA), AES (WPA2) EAP Types: PEAP (PEAPv0/EAP-MSCHAPv2), EAP-TLS
IFF
wvianna@iff.edu.br
90

Windows Lembretes Desativar WZCSVC, caso opte por controlar a interface pelo servio do fabricante Restringir associaes a redes de infra-estrutura ou ad-hoc (Advanced)
IFF
wvianna@iff.edu.br
91
Linux

Outra histria Drivers ainda constituem um problema Chipsets melhor suportados por drivers e ferramentas: Prism, Orinoco, Atheros, Ralink e TI (nesta ordem) Demais chipsets: Suporte muitas vezes parcial Sem o modo RFMON
IFF
wvianna@iff.edu.br
92
Linux
Drivers Hostap chipset Prism wlan-ng MADWIFI chipset Atheros Wavelan chipset Orinoco Ndiswrapper instalao de driver Windows (.INF) sob Linux Utilitrios Wireless Tools (WT) iwconfig, iwlist, iwspy, iwpriv, ifrename
IFF
wvianna@iff.edu.br
93
Definio dos parmetros de WLAN
Linux iwconfig - canal, SSID, modo, chave, taxa de transmisso modo master: primeiro passo para transformar uma estao em um AP Windows WZCSVC - associao ao AP simplificada
IFF
wvianna@iff.edu.br
94
SEGURANA DE REDES SEM FIO Ataques a redes sem fio (1/10)
Estima-se que, em 2006, 70% dos ataques bemsucedidos contra Access Points e clientes de WLANs ocorram devido m configurao (Gartner, 2004). Os ataque so favorecidos devido a concepes erradas sobre segurana em redes sem fio. O fato de no entender as vulnerabilidades ou de assumir que a rede est segura por si s constitui um risco.
IFF
wvianna@iff.edu.br
95
Concepes erradas
Uso filtro por endereos MAC WEP melhor que nada Uso WPA-PSK, estou seguro Ningum encontrar minha rede wireless
IFF
wvianna@iff.edu.br
96
Concepes erradas (continuao)
Ataques DoS exigem equipamentos caros, de acesso difcil Estamos seguros porque usamos autenticao/criptografia Segregamos nossa WLAN No temos redes sem fio em nossa empresa Temos firewall Ningum nos invadiria
IFF
wvianna@iff.edu.br
97
Segurana fsica
No h segurana fsica. Conter a abrangncia de uma rede sem fio muito difcil. Lugares de ataque mais comuns: prdios vizinhos, apartamentos vizinhos, lobbies. Vazamento de sinal Qualidade para capturar sinal longa distncia Qualidade para associao curta distncia
IFF
wvianna@iff.edu.br
98
Segurana fsica Wardriving
Wardriving termo cunhado por Peter M Shipley em 1999. Busca por redes sem segurana.
IFF
wvianna@iff.edu.br
99
Segurana fsica Piggybacking
Termo em ingls para conexo em redes sem fio alheias. Prtica comum: vizinhos, viajantes. Eu no acho que isto seja roubar Consenso: se o dono do AP habilitou segurana (mesmo WEP), ento no quer conexes de estranhos. Outros problemas:

Uso para golpes na Internet, para pedofilia assinante do servio o culpado aparente Cotas de download prejuzo financeiro para o vizinho
IFF
Divulgao de informaes
WLAN = LAN com hub Com criptografia ou no, o trfego pode ser capturado No necessrio se associar ao AP para capturar Depende da combinao entre distncia e ganho da antena
IFF
wvianna@iff.edu.br
101
Negao de servio
Denial of Service (DoS) Trs categorias Ataques ao meio RF Jamming Fraquezas de 802.11 ataques deauth Vulnerabilidades no firmware dos clientes Segurana = Confidencialidade, Integridade e Disponibilidade.
IFF
wvianna@iff.edu.br
102
Access points Rogue
Usurios bem intencionados ligam APs mal configurados rede cabeada Mudana inadvertida no permetro da rede Firewall corporativo defende do lado errado Solues Polticas Monitoramento Auditoria
IFF
wvianna@iff.edu.br
103
Outros ataques
Redes domsticas e Hotspots Explorao de vulnerabilidades do sistema operacional Worms que se propagam pelas camadas PHY e MAC Filtros de camada 3 e 4 sem utilidade Possibilidade futura Worm Cabir celulares Bluetooth
IFF
wvianna@iff.edu.br
104
SEGURANA DE REDES SEM FIO Wardriving Campos (1/5)

Batalho da PM (Fundos) Marechal Floriano (Ouvidor) 21 de Abril Praa So Salvador Alberto Torres Gil de Gois (Liceu) Baro de Miracema Av. Pelinca Formosa Felipe Webe Alberto Lamego (UENF)
Foram detectados 280 equipamentos AP/Router Wardriving realizado entre 10:00 e 10:34 do dia 31/10/2008

Wardriving - Campos - ESSID BSSID (2/5)
ZPlus-G120 00:05:9E:83:EB:D9 WRLS-ETC 00:1B:11:E6:04:43 WLW 00:19:5B:4B:B4:55 WLMB 00:1B:11:6C:D4:AC WLAN_19 00:1D:19:26:38:1B WizardLan 00:1D:7E:F5:A3:52 WireSic_Serasa 00:1E:58:09:E0:DE Wireless-RHPM 00:0E:2E:C0:EC:CA Wireless da Larissa 00:1E:58:0D:3C:68 WIPEER 92:08:EF:51:A2:C6 Wi-Fi_PBSACORP 00:15:70:97:39:F0 WIFI 00:E0:4C:F5:8B:BD W+Midia 00:1B:11:3A:F6:6F Vitor Ferreira 00:1B:11:91:FE:4E Vip Car 00:1B:11:A5:C5:26 V-IMPERIAL 00:1D:0F:EC:95:FE Vieira_Wireless 00:1C:F0:AD:B4:E3 VIDAELUZ 00:1B:11:61:0E:13 VICTORWIRELESS 00:1B:11:3A:F1:1B Vanessa Braga 00:1A:3F:48:C5:38 Valeria_casa 00:1E:58:09:B0:60 UNNUS_4 00:15:6D:50:11:5A UNNUS_3 00:15:6D:50:11:5E UNNUS_2 00:15:6D:50:11:45 UNNUS_1 00:15:6D:50:11:49 Unicampos 00:17:9A:00:DA:12 TV LITORAL ESCRITORIO 00:13:46:36:E8:75 TrojanHorse 00:1A:C1:38:1D:34 Trindade 00:17:9A:4B:B3:A9 trindade 00:1C:F0:85:8A:EA TP-LINK 00:19:E0:A3:59:00 TP-LINK 00:1D:0F:D1:7A:70 TP-LINK 00:1D:0F:D1:7A:98 TP-LINK 00:1D:0F:ED:72:C2 TESTE 00:1B:11:69:2A:B1 tecnose 00:40:F4:FB:63:69 TATIEBRUNO 00:19:5B:00:26:A7 SuperPoderosas 00:1B:11:D5:2A:09 SMoto 00:0E:2E:8D:4D:50 Sobre 00:1B:11:4B:6E:6F SMC 00:13:F7:7F:61:57 Siqueira 00:1B:11:3C:E8:91 sarta 00:13:46:7A:DD:B6 Santostec 00:18:E7:1F:83:E1 Santostec 00:1B:11:F4:BD:28 Samurai 00:1C:F0:EA:8C:47 Salute2 00:12:0E:95:C8:45 SAGRES_BEER 00:18:E7:21:4A:7C Router 00:1B:11:91:BB:FE RLM Advogados 00:1E:58:37:EB:2F REDE004 00:E0:4C:FD:59:C5 Rede Sem Fio 00:1E:58:0D:50:90 Rede Igor 00:1E:58:2D:9D:4D RCR 00:17:9A:F1:AB:19 Ramos 00:1E:E5:5D:BF:15 previcpswi-fi 00:17:9A:83:20:5D previcpswi-fi 00:17:9A:83:20:7A Ppaes 20:03:7F:1F:12:C1 Portal 00:13:46:F0:E0:30 POP-SLT1 00:0C:42:0C:54:33 POP-S3 00:12:0E:2D:B3:68 POP-PLCH 00:12:0E:96:B4:4D POP-PLC 00:02:2D:51:31:3A POP-OPC2 00:12:0E:48:11:A9 POP-OPC 00:02:2D:61:77:FB POP-MTC 00:12:0E:48:0F:E7 POP-FMO 00:12:0E:59:E6:68 POP-DM 00:12:0E:78:2F:6C POP-CDT2 00:12:0E:9C:41:B6
IFF
wvianna@iff.edu.br
106

POP-CDT 00:02:2D:8F:D1:D3 POP - GUARUS 1 00:4F:62:0E:8C:E2 pipit 00:18:F8:6F:BB:D4 PERCI 00:1C:F0:EA:BC:F3 PAULOFA 00:15:E9:D2:B1:AC PATASEASAS 08:10:74:1A:8A:36 PACIFIC 00:1D:0F:F5:FC:F6 PACIFIC 00:1D:0F:F6:06:9A PACIFIC 00:1D:0F:F6:08:AA Ossoduro 00:06:4F:6B:C4:BC Oi 00:19:5B:DC:78:A4 OdiarioWire 00:17:9A:00:DA:0B OAB 00:1B:11:F5:82:2C nolimit 00:14:D1:36:18:E6 NETGEAR 00:1B:2F:E6:A9:CC NETGEAR 00:1E:2A:0B:0C:DA NETGEAR 00:1F:33:32:94:7E NAKED 00:1C:C5:0A:39:98 MyWLAN 00:0A:52:01:1C:85 Muniz Duarte 00:1B:11:FF:F5:8A MULTICEL 00:1C:F0:85:AA:22 movocanto 00:17:9A:35:E1:10 MMJ 00:1E:58:C1:4D:7D mixinfo 00:1B:11:A5:D4:34 MedNet 00:1D:0F:EB:90:08 MB 00:1C:F0:00:16:49 Matrix 00:1C:F0:00:98:F7 MatheusRocha 00:13:46:EF:E1:9A Margaret 00:18:E7:42:F7:04 manelzeze 00:1B:11:4E:ED:C1 M4rd0k 00:1C:F0:38:FC:1F lumare 00:19:5B:BD:D1:7D Loja10 00:1E:58:34:35:5B linksys 00:1C:10:57:BB:39 linksys 00:1D:7E:50:4C:81 linksys 00:1D:7E:5D:92:76 linksys 00:1E:E5:7B:0C:2D LIML_WIRELESS 00:1C:F0:3C:45:0A LFcasa 00:1B:2F:FC:19:5C LCBS 00:13:46:F0:F6:E8 Joao Manoel 00:1B:11:A5:F8:76 joao 00:1B:11:3C:E6:65 Japa 00:21:91:6A:6F:8E Irina 00:1B:11:3D:00:75 ione 00:1B:11:A3:61:4E INTELBRAS 00:1A:3F:48:C9:86 Imprimix 00:1A:C1:38:00:9A Iconect 00:30:4F:52:93:36 ICN 00:0A:52:01:61:FC Huguinho Zezinho e Luizinho 00:1C:F0:00:0B:E7 house 00:1B:11:D4:9D:57 Home Sweet Home 00:1E:58:C1:D7:F3 HOME 00:1B:11:92:12:9A Haddad 00:1E:58:0D:59:94 Habitare 00:13:46:34:35:E9 Habitare 00:19:E0:0F:AC:C6 Gustavo 00:1B:2F:56:50:40 GUIOPIM 00:1E:58:09:C3:84 geraldo 00:1B:11:91:B8:86 Geno 00:18:E7:44:8F:26 GANTOS WEB 00:17:9A:4B:B3:83 G604T_WIRELESS 00:0F:3D:B8:FB:4C Francisco 00:50:18:58:2B:F6 FRACTALL 00:05:9E:88:F0:32 FoX 00:21:04:10:4C:67 fourteam 00:18:39:40:3A:80 Forum_do_Pao 00:13:46:DE:8D:FF flink 00:1E:58:0D:42:32 fernandes 00:1B:11:3A:EB:7D
IFF
wvianna@iff.edu.br
107

FAMILIA FELIZ 00:05:9E:86:92:B1 Fabricio 00:1A:C1:38:0D:AE FABNAJ 00:1C:F0:83:30:00 EXTINCAMPOS 00:21:8D:00:08:33 ESSID BSSID EscritorioWIRE 00:1C:F0:7F:EE:40 escritorio manhaes de lima 00:1E:58:0D:59:CA escritorio 00:17:9A:58:29:99 ESCRITORIO 00:1A:3F:48:B6:46 ESC 00:18:39:64:5B:0B Ello_Campos 00:1B:11:8C:BB:DE Efeito Digital Interna 00:13:10:D2:E6:CC Efeito Digital Externa 00:05:9E:88:E1:D4 DRPC 00:1B:11:D3:10:CB Dr 00:1B:11:A1:BE:DC DPPCASA 00:1E:58:C1:BF:99 dlinkE607 00:1C:F0:5F:E6:07 DLINK_WIRELESS 00:1C:F0:3F:CE:6A D-Link 00:0D:88:3C:DF:FF d-link 00:19:5B:90:9F:AA dlink 00:1B:11:3A:89:75 dlink 00:1B:11:3D:03:FB dlink 00:1B:11:5E:AD:29 dlink 00:1B:11:66:79:B3 dlink 00:1B:11:FB:D3:A6 dlink 00:1C:F0:00:7D:2B dlink 00:1C:F0:02:0E:E9 dlink 00:1C:F0:3A:4E:97 dlink 00:1C:F0:83:25:E6 dlink 00:1C:F0:87:22:A6 dlink 00:1C:F0:87:24:7C dlink 00:1C:F0:AD:9D:1F dlink 00:1E:58:0D:41:72 dlink 00:1E:58:14:AC:3E dlink 00:1E:58:14:F4:B4 dlink 00:1E:58:C0:9F:A9 dlink 00:21:91:6B:99:76 DIGITUS_SERVER_WIRELESS 00:E0:4C:F4:98:27 DetalheWIRE 00:19:5B:B3:84:23 default-root-gina 00:12:0E:94:12:F9 default-root 00:12:0E:93:F6:5B default-root 00:12:0E:93:FF:46 default-root 00:17:9A:83:20:52 default-root 00:19:5B:D2:B8:68 Default_11G 00:06:4F:68:A2:0E Default_11G 00:06:4F:68:A5:98 default 00:11:95:4C:49:99 default 00:13:46:DE:8D:FD default 00:13:46:F5:D3:4E default 00:15:E9:33:4C:F1 default 00:15:E9:33:4C:F4 default 00:15:E9:D2:CF:D4 default 00:17:9A:F8:7E:E3 default 00:17:9A:FD:7A:D7 default 00:18:E7:1F:83:CD default 00:19:5B:00:4D:C1 default 00:19:5B:0C:72:66 default 00:19:5B:4F:88:CD default 00:1B:11:A3:7F:3A default 00:1E:58:14:F2:4A defato-wifi 00:19:5B:BE:48:A7 Decisiva2 00:18:6E:C3:8C:CF Decisiva 00:15:E9:40:61:24 Dantas 00:1E:58:E8:DA:DF Daniel Campos 00:1C:F0:3F:BA:CA Curaau Blue 00:19:5B:B3:7A:DB CTA 00:1E:58:32:0C:6F CSantos 00:1C:F0:F5:CF:68 credtem 00:1C:F0:83:03:94
IFF
wvianna@iff.edu.br
108

CPD 00:19:5B:5F:B6:C7 cosanostra 00:19:E0:A1:3B:2E CONSTRUTORA 00:19:5B:09:13:10 ConnectionPoint 00:21:04:10:19:81 CNET-VIACABO 00:02:2D:AA:A6:6F CNET-MAISON2 00:02:2D:A9:CD:05 CNET-ALBERTAOS2 00:12:0E:84:7D:D4 CNET-ALBERTAOS1 00:02:2D:01:31:DC CNET-97FM 00:02:6F:3B:0C:A5 Clnica Oral Cerqueira Escocard 00:1C:F0:6F:7F:80 classmaker.com 00:1E:2A:65:1C:B2 ChicreCheme 00:1B:11:3C:D9:7B CFB-Lab1 00:40:F4:F8:B7:77 CFB-CPD 00:18:E7:44:8F:22 CCULTURA 00:17:9A:FD:8B:C7 CCIS 00:13:33:0B:0F:20 CC_Campos 00:1B:11:4F:1D:C9 CB_BH_Campos 00:1B:2F:E6:76:12 Castor_Wireless 00:19:5B:DF:CF:4E casa1 00:1B:11:A5:DD:62 casa 00:13:46:88:C4:F0 Carvalho 00:1C:F0:00:84:65 Cantoti 00:14:7C:BC:AC:4E CAM 00:13:46:F3:D6:FC cada.d 00:1B:11:43:A7:7E CabeloePele 00:1C:C5:D7:F9:C2 Bruno 00:1B:11:3A:F6:81 BP2 0A:0F:CB:FC:53:B5 BP 00:0F:CB:FC:53:B5 Beto 00:15:E9:40:5F:58 bernardo 00:1D:0F:EB:A2:5C belkin54g 00:17:3F:84:4F:98 Baluro 00:1B:11:F4:B3:08 BALBIeCOSTA 00:1A:C1:35:C2:D4 b 00:0A:B8:1C:4C:30 b 00:17:94:A5:CF:50 ATHILA 00:18:E7:49:3D:EC apserver 00:0E:2E:1F:9D:9D APHF 00:12:17:74:BC:14 APHF 00:12:17:74:BE:1D AnsataAssociada 00:15:E9:EC:C0:E4 Anna 00:19:5B:5F:E3:47 Alterdata 00:1E:58:0D:2D:0C ALEXANDRECASA 00:1C:C5:0A:13:AC ALEXANDRE 00:1E:58:13:89:5A AKF 00:21:91:6A:6D:F4 ADMINISTRATIVO 00:1E:E5:33:DB:D3 ACJ 00:1B:11:F4:F5:DE ACIC 00:17:9A:4B:B4:1B acessototal 00:02:2D:A5:B2:92 acessototal 00:14:7C:BC:AD:56 acessototal 00:4F:62:00:4C:28 acessototal 00:4F:62:00:5F:33 a 00:1E:58:C6:65:BB 3Com 00:1C:C5:09:89:14 3Com 00:1C:C5:0A:14:F6 3Com 00:1C:C5:D7:85:84 100Fio 00:19:5B:E0:02:5C 100FIO 00:1C:F0:83:28:96 001601AD54E0 00:16:01:AD:54:E1 #@!%XtremeAvm-Adm%!@# 00:1D:0F:EB:92:48 7 00:18:39:0C:E1:6E
IFF
wvianna@iff.edu.br
109

Metodologias de auditoria (1/5)
Auditoria contra determinada poltica
Antes Poltica em mos, dados j coletados; Conhecer os equipamentos tpicos, marcas de produtos; Autorizao. Buscar desvios Clusulas da poltica de segurana no obedecidas; Correlacionar dados coletados com a poltica de segurana.
IFF
wvianna@iff.edu.br
110

Nem sempre redes e dispositivos sem fio esto includos na poltica de segurana adotada Outros objetivos de uma auditoria:
Identificar APs e clientes; Verificar as configurao; Mapear abrangncia da rede; Avaliar o grau de divulgao de informaes da organizao.
IFF
wvianna@iff.edu.br
111

Metodologias Fingerprinting do AP
Passivo No h necessidade de estar conectado rede Identificar o fabricante OUI (Organization Unique Identifier) da interface de rede Alocado pelo IEEE til apenas em trfego unicast e broadcast Identificar informaes proprietrias divulgadas nos quadros beacon Ativo Necessidade de conexo Conectar-se ao AP remotamente (SSH, servidor WEB)
IFF
wvianna@iff.edu.br
112

Metodologias processamento de informaes coletadas
Processar informaes coletadas Gerar planilhas com arquivos XML e CSV gerados pelo Kismet; Identificar redes com segurana fraca; Informaes teis; SSIDs usados, marcas de interfaces, potncia do sinal e nvel de rudo, dentre outros indicadores.
IFF
wvianna@iff.edu.br
113

Metodologias identificando mtodos de segurana
Automaticamente Ferramentas como Kismet Manualmente Captura e filtro de quadros no interessantes beacon, probe request, probe response Anlise com analisadores de trfego como Ethereal ou Wireshark
IFF
wvianna@iff.edu.br
114

Ferramentas de auditoria (1/4)
Principais
Tcpdump airodump Ethereal Wireshark NetStumbler (Windows) Kismet Linux apenas, verso Windows em desenvolvimento
IFF
wvianna@iff.edu.br
115

Principais ferramentas Ethereal / Wireshark
Poderoso analisador de trfego Revela mais informaes que Tcpdump Estrutura em rvore, resoluo de hostname / porta / MAC, possibilidade de visualizao de fluxos, etc. Dependente de Libpcap / Winpcap Captura trfego, abre arquivos de captura PCAP Interoperabilidade com Tcpdump, airodump, Kismet e outras Filtros de captura no mesmo formato usado por Tcpdump, filtros de exibio
IFF
wvianna@iff.edu.br
116

Principais ferramentas Kismet
Diversas funes Wardriving, site survey, IDS distribudo, auditoria, deteco de APs rogue, deteco de IVs duplicados em redes com WEP Interao com GPS para mapeamento Driver prprio, mais de 20 tipos de NIC suportados Suporte ainda limitado aos principais chipsets Restrito a Unix, diversas dependncias GPSD, ImageMagick, Expat, GMP possvel a captura em todos os canais simultaneamente
IFF

Principais ferramentas NetStumbler
Ferramenta mais popular, restrita ao Windows Vrias funes Configurao da sua rede, deteco de interferncia, APs no-autorizados (rogue), wardriving (suporte a GPS) Auditoria ativa, detectvel por probes Limitado, se comparado ao Kismet RFMON ausente sob Windows Bom suporte a NICs em Windows Barulhento
IFF

Segurana-padro no AP (1/2)
Configuraes relacionadas segurana
Secure Easy Setup (SES) SSID Wireless SSID Broadcast Wireless MAC Filter AP isolation
IFF
wvianna@iff.edu.br
119

Segurana-padro no AP (2/2)
Configuraes relacionadas segurana
Firewall, filtros de aplicao, DMZ Administrao Alterao de senha; Habilitar HTTPS; Desabilitar acesso administrativo a partir da rede sem fio; Desabilitar gerenciamento a partir da interface externa;
IFF
wvianna@iff.edu.br
120

Segurana em redes domsticas

AP configurado com WPA2-PSK Vantagens
Segurana suficiente para usurio domstico J existem ataques conhecidos contra WPA No necessrio servidor de autenticao Possvel mesmo sem Openwrt Chave compartilhada mesma chave para todos os usurios, segredo mantido por pouco tempo Trocar PSK nos clientes trabalhoso
Desvantagens
IFF

Segurana em redes corporativas

IEEE 802.1x Port Based Network Access Control Servidor de autenticao externo
FreeRADIUS implementao de RADIUS (RFC 2865) EAP Extensible Authentication Protocol (RFC 3748) Necessidade de ICP (Infra-estrutura de Chaves Pblicas) Necessidade de certificados tanto no servidor RADIUS quanto nos clientes autenticao mtua
wvianna@iff.edu.br
EAP-TLS como mtodo EAP
IFF
122
NOES DE AUDITORIA E ANLISE FORENSE
CONTEDO PROGRAMTICO
- Princpios de anlise forense: conceito e motivao; - Procedimentos de anlise forense; - Cadeia de custdia de evidncias; - Ambiente e ferramentas de anlise forense; - Ambiente de anlise forense: o hardware, o sistema operacional e o software bsico; - Pacotes forenses: ferramentas dos nveis de sistemas de arquivo e de nomes de arquivos, de metadados e de blocos de dados; - Coleta de evidncias: arquivos de logs, de inicializao do sistema e de histrico de comandos; - Recuperao e anlise de evidncias; - Sistema de arquivos Linux; - Ferramentas de recuperao de evidncias: como reaver arquivos apagados e parcialmente sobrescritos; - Evidncias avanadas: anlise de executveis e evidncias avanadas; - Cronologia dos acontecimentos e reconstruo do ataque; - Anlise forense em sistemas Windows; - O sistema de arquivos do Windows; - Descrio do pacote de ferramentas e primeiras aes; - Informaes sobre o sistema: identificao de aes, de usurios e do nome do sistema (hostname); - Identificao de processos em execuo no sistema; - Identificao de portas disponveis; - Identificao de bibliotecas em uso; - Registro do Windows; - Informaes adicionais do Windows; IFF wvianna@iff.edu.br 123 - Mtodos de ocultao de dados e informaes.
1 - Sistemas operacionais Comandos bsicos GNU/Linux. Sistemas de arquivos. 2 Curso de segurana de redes.
IFF
wvianna@iff.edu.br
124
Princpios de Anlise Forense
Resposta incidentes de segurana

Preparao Identificao Conteno Erradicao Recuperao Acompanhamento

IFF

Anlise forense: o segundo passo no processo de resposta a incidentes. Recuperar e analisar dados da maneira mais imparcial e livre de distores quanto possvel, para reconstruir os dados ou o que aconteceu a um sistema no passado [1].
[1] Murder on the Internet Express; Farmer, Dan; Venema, Wietse;

PROCEDIMENTOS:
Minimizar perda de dados; Evitar contaminao dos dados; Registrar e documentar tudo que for feito; Analisar, impreterivelmente, dados em cpias; Reportar as informaes coletadas; E principalmente, manter-se imparcial!
um erro capital teorizar antes de ter todas as evidncias. Sherlock Holmes
IFF
wvianna@iff.edu.br
127
Princpios de Anlise Forense Motivaes

Por qu no investigar um incidente? caro demorado Nem sempre vale a pena Ocupa recursos importantes! Enfim, um processo que demanda tempo e recursos, e nem sempre vai ser til para a empresa. mais fcil reinstalar um computador do que investigar!
IFF
wvianna@iff.edu.br
128
Princpios de Anlise Forense Motivaes

Ento, por qu investigar? Identificar sinais de ataque; Determinar a extenso do comprometimento; Reconstruir a ordem dos eventos; Entender o modus operandi do atacante. Responder: O Qu? Quando? Onde? e Como?
IFF
wvianna@iff.edu.br
129
Princpios de Anlise Forense Tipos de Sistemas Comprometidos

Sistema desligado: Sem atividade no disco rgido; Evidncias volteis perdidas; Sem atividade do invasor; Sem necessidade de conteno do ataque; Possivelmente algumas evidncias foram modificadas!
IFF
wvianna@iff.edu.br
130

Sistema Ligado: Atividade no disco rgido; Atividade de rede; Evidncias volteis; Possvel atividade do invasor; Necessrio conter o ataque; As evidncias esto sendo modificadas!
IFF
wvianna@iff.edu.br
131

Sistema Ligado: Verificar se o sistema est comprometido No comprometer as evidncias Conter o ataque Coletar evidncias Power-off ou shutdown? Power-off: no modifica evidncias, mas pode corromper os dados Shutdown: Garante integridade dos dados, mas pode modificar evidncias
Princpios de Anlise Forense Procedimentos para Anlise Forense

A reao precisa ser rpida. Esteja preparado! Tenha em mos um checklist de aes, e todas as ferramentas necessrias. Esterilize as mdias antes de coletar evidncias. Colete as evidncias mais volteis primeiro. Crie um registro para cada evidncia, e faa um relatrio da sua investigao.
IFF
wvianna@iff.edu.br
133

Ordem de coleta de evidncias: Informaes sobre o ambiente (ambiente operacional, fotos da sala e da tela do computador); Coletar cpia binria da memria RAM; Coletar informaes sobre processos rodando, conexes de rede, registros, cache, etc; Coletar informaes sobre o trfego de rede; Coletar cpias dos discos rgidos; Coletar possveis mdias removveis (fitas, disquetes, cdrom); Coletar material impresso (adesivos, folhas impressas).

Criar registro para cada evidncia Criar assinatura das evidncias: MD5 SHA1 Evitar comprometer evidncias Criar relatrio detalhado da investigao: comandos executados pessoas entrevistadas evidncias coletadas
Princpios de Anlise Forense Cadeia de Custdia de Evidncias

um registro detalhado de como as evidncias foram tratadas durante a anlise forense, desde a coleta at os resultados finais. Este registro deve conter informaes sobre quem teve acesso s evidncias ou s cpias utilizadas. Durante um processo judicial, este registro vai garantir que as provas no foram comprometidas. Cada evidncia coletada deve ter um registro de custdia associada a ela.

Cadeia de Custdia de Evidncias Um registro de custdia deve conter pelo menos os seguintes itens: Data e hora de coleta da evidncia; De quem a evidncia foi apreendida; Informaes sobre o hardware, como fabricante, modelo, nmeros de srie, etc; Nome da pessoa que coletou a evidncia; Descrio detalhada da evidncia; Nome e assinatura das pessoas envolvidas; Identificao do caso e identificao da evidncia (tags); Assinaturas MD5/SHA1 das evidncias, se possvel; Informaes tcnicas pertinentes.
Ambiente e Ferramentas de Anlise Forense

IFF
Pr-requisitos Hardware Sistema Operacional Software Bsico Pacote de Ferramentas Forenses CD de Ferramentas
A primeira ao do investigador coletar evidncias no local onde ocorreu a invaso. Aps isso, entra em cena a anlise de mdias. O investigador precisar analisar dezenas de gigabytes de dados, por isso deve contar com um ambiente propcio, com ferramentas que facilitem seu trabalho.
Pr-requisitos
Pr-requisitos
O objetivo da anlise de mdias coletar evidncias que comprovem ou refutem a invaso. As evidncias originais devem ser preservadas, por isso a anlise deve ser feita em cpias das mdias. O analista deve evitar comprometer as evidncias, e deve garantir que todos os resultados podem ser reproduzidos. Isto envolve a criao e manipulao de dezenas de gigabytes de dados. Alm disso, o sistema invadido no confivel, portanto o investigador precisa dispor de um ambiente confivel e controlado para realizar a investigao.
Hardware
Quanto mais memria RAM e mais processamento tiver, melhor! O espao livre em disco deve ser generoso. O sistema deve ter baias para conectar os discos de evidncias. De preferncia, as baias devem ser configuradas para jamais iniciar o sistema a partir dos discos contidos nelas. Um notebook imprescindvel para quando no for possvel remover o disco de evidncia. Este notebook deve conter as mesmas ferramentas da estao forense. O investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-over e normais, placas de rede normais e wireless, disco rgido externo (USB e paralelo), bem como um equipamento para realizar cpias de disco automaticamente. 141 IFF wvianna@iff.edu.br
Sistema Operacional
Entre os pontos que devem ser levados em considerao na hora de escolher o sistema operacional esto: Familiaridade do investigador com o S.O.; Disponibilidade de ferramentas; Capacidade do S.O. de reconhecer diversos tipos de mdias ou sistemas de arquivos diferentes; Mecanismos de segurana disponveis no S.O.;
Sistema Operacional
GNU/LINUX - Caractersitcas: No necessrio adquirir licenas para uso; Existe uma gama completa de ferramentas de anlise forense de uso livre; Capacidade de acessar qualquer tipo de sistema de arquivos ou parties a partir de configurao no kernel; Capacidade de acessar diversos tipos de dispositivos diferentes (USB, Discos, etc); Firewall embutido no kernel, e possibilidade de utilizar diversas modificaes no kernel para aumentar a segurana da mquina.
IFF
wvianna@iff.edu.br
143
Sistema Operacional
GNU/LINUX Limitaes: Se for necessrio analisar algum executvel para Windows, precisaremos de uma maneira de emular o Windows. A melhor opo utilizar o VMWare ou outro sistema de emulao, tal como o Wine. Apesar da escolha pelo Linux, existem timas ferramentas de anlise forense para Windows, tal como o software EnCase produzida pela Guidance Software e representada no Brasil pela TechBiZ Forense Digital.
IFF
wvianna@iff.edu.br
144
Software Bsico
Nem sempre ser necessrio a utilizao de ferramentas complicadas para realizar uma anlise. O Linux dispe de timas ferramentas para auxiliar o trabalho de investigao. Estas ferramentas bsicas so importantes para a investigao, e o analista deve conhec-las muito bem. Existem verses destas ferramentas para Windows tambm, mas precisam ser instaladas parte. No Linux, elas j acompanham o sistema.
Ambiente e Ferramentas de Anlise Forense Software Bsico

strings: extrai mensagens de texto de um arquivo. Esta uma das principais ferramentas do investigador. Com ela possvel detectar rapidamente se existe algum contedo interessante em um arquivo suspeito. Pode ser usada tanto em arquivos comuns como diretamente em um arquivo de dispositivo. Ex: # strings a /bin/bash # strings a /dev/hda1 > /data/hda1.str
Com o comando acima criamos um arquivo com todas as mensagens contidas no dispositivo /dev/hda1. Podemos utilizar este arquivo para detectar rapidamente se existe algum contedo comprometido no dispositivo. Por exemplo, podemos utilizar este arquivo para procurar por palavras suspeitas constantes em uma base de dados.

grep: Procura por padres em um arquivo. Usado em conjunto com o strings torna-se uma ferramenta importante para encontrar evidncias. Ex: # grep ia f /data/palavras_hacker.txt /data/hda1.img # grep ab hacked /data/hda1.img
No primeiro exemplo acima, utilizamos um arquivo com palavras suspeitas como padro de busca. O comando ir mostrar quais palavras constantes no arquivo /data/palavras_hacker.txt que tambm aparecem na imagem de disco /data/hda1.img. No segundo exemplo, o comando ir imprimir o offset em bytes de onde a palavra hacked foi encontrada no arquivo /data/hda1.img.

md5sum/sha1sum: Geram um hash criptogrfico dos dados passados como entrada. Estes comandos so importantes para garantir a integridade de evidncias coletadas durante a investigao, bem como verificar a autenticidade dos arquivos armazenados em disco. Ex: #md5sum /etc/passwd d8f6d74f3cf8f05792027673407b2160 /etc/passwd Podemos utilizar estes comandos para monitorar a integridade dos arquivos do sistema, ou ento para garantir a integridade de evidncias coletadas durante a investigao. Este comando importantssimo para garantir a cadeia de custdia de evidncias.

find: Procura no sistema de arquivos por arquivos que casem com os padres especificados. Deve ser utilizado com cuidado, pois modifica as datas de acesso dos arquivos pesquisados. Ex: # find /dev not type b and not type c # find / -name .[. ]* # find / -perm +02000 or perm +04000
Procura por arquivos a partir de algumas restries de busca. Pode encontrar arquivos suspeitos no diretrio /dev, arquivos escondidos ou com caracteres estranhos no nome, ou arquivos com permisses especficas.Estes arquivos podem ser suspeitos, pois um arquivo com o bit setuid (stick bit) ligado pode indicar a presena de um root shell.

netstat: Com este comando pode-se descobrir rapidamente a existncia de portas de rede abertas na mquina, ou as conexes atualmente estabelecidas. possvel tambm descobrir a existncia de rotas estticas inseridas manualmente. Ex:# netstat nap # netstat nr lsof: Importante ferramenta de coleta de evidncias. Ela utilizada para listar todos os arquivos abertos. Em um sistema operacional, qualquer recurso mantm um arquivo aberto. Conexes de rede, bibliotecas abertas, programas executando, tudo vai ser listado pelo lsof. Ex:# lsof l # lsof i # lsof l | grep LISTEN

file: Tenta identificar o tipo de um arquivo a partir de um banco de assinaturas de arquivos conhecidos. Ex:# file /bin/cp /bin/cp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/ Linux 2.0.0, dynamically linked (uses shared libs), stripped Algumas vezes importante saber o tipo de um arquivo suspeito. No exemplo, o arquivo /bin/cp um executvel para Linux, que utiliza bibliotecas compartilhadas, e teve as informaes de debug removidas. Estas informaes so importantes para decidir o curso da investigao. As vezes, analisar um executvel em um debugger pode nos dar mais informaes sobre o invasor.
AUDITORIA E ANLISE FORENSE

dd: Este comando utilizado para copiar dados binrios. Estes dados podem ser arquivos ou mesmo dispositivos fsicos. Ele usado principalmente para realizar cpias binrias de disco. Ex:# dd if=/dev/hda of=/data/hda.img # dd if=/dev/zero of=/dev/fd0 No primeiro exemplo ser criada uma cpia fiel de um dispositivo de disco em um arquivo. Para todos os efeitos, o contedo do primeiro disco igual ao do arquivo. Inclusive o hash MD5 dos dois deve permanecer igual. No segundo exemplo, utiliza-se o dispositivo virtual /dev/zero para sanitizar um disquete (pendrive, carto, etc) antes de us-lo para armazenar evidncias. Isto importante para garantir que as evidncias no vo ser comprometidas com dados existentes previamente no disquete.

nc: A funo desta ferramenta criar uma conexo de rede com outro computador, ou ento criar um listener em uma determinada porta. Com esta ferramenta, o investigador poder copiar arquivos e dados de um computador para outro. Ex:# nc l p 9999 > /data/hda1.img.gz # dd if=/dev/hda1 | gzip -9 c | nc p 9999 <ip_da_estacao_forense> O primeiro comando acima deve ser executado na estao forense. Ele cria um listener na porta 9999, e direciona tudo que for enviado a essa porta para o arquivo /data/hda1.img.gz. O segundo comando l o contedo da partio /dev/hda1 da mquina comprometida, compacta com o comando gzip, e envia para a estao forense pela rede. Com isso, no necessrio gravar nada no disco da mquina comprometida, preservando evidncias.

Wireshark/Tshark: Estas duas ferramentas funcionam como monitores de rede. Elas servem para capturar todo o trfego de rede que chega interface monitorada. Normalmente o investigador vai utilizar estas ferramentas para monitorar a atividade de rede entrando e saindo da mquina comprometida, a partir da estao forense. Esta pode ser a primeira indicao de que a mquina est comprometida. Ex:# tethereal i eth0 n x host 192.168.0.1 # tethereal i eth0 w /data/capture.log host 192.168.0.1 and port 22 # tethereal r /data/capture.log n x host 192.168.0.1 and dst net 172.68.0.0/24 O Tshark uma ferramenta para ser utilizada em terminais de texto, enquanto o Wireshark tem uma interface grfica.
Ambiente e Ferramentas de Anlise Forense Pacote de Ferramentas Forense

Por qu utilizar um pacote de ferramentas forenses? ferramentas que facilitem o trabalho de analisar e extrair evidncias de imagens de disco; permitam recuperar arquivos removidos; que sejam flexveis, permitindo a anlise de sistemas de arquivos diferentes; a quantidade de dados muito grande, ento ferramentas especficas tornam o trabalho mais fcil.
IFF
wvianna@iff.edu.br
155
Ambiente e Ferramentas de Anlise Forense Pacote de Ferramentas Forense

EnCase, para Windows. Existem dois pacotes importantes para Linux: The Coroners Toolkit, e The Sleuth Kit O Sleuth Kit foi criado com base no primeiro, e possui mais funcionalidades e flexibilidade. Outras ferramentas facilitam o trabalho do analista, tal como o Autopsy, uma interface web para os programas do Sleuth Kit. Apresentar vdeo.
Pacote de Ferramentas Forense Sleuth Kit Algumas caractersitcas: Maior flexibilidade das ferramentas; Trabalha com dispositivos de disco ou imagens binrias; Reconhece diversos sistemas de arquivos; Sem custo de utilizao.

Ferramentas do Nvel de Sistema de Arquivos: Estas ferramentas processam dados gerais sobre o sistema de arquivos, tal como o layout de disco, estruturas de alocao e boot blocks. Ferramentas do Nvel de Nomes de Arquivos: Estas ferramentas processam estruturas de nomes de arquivos e de diretrios. Ferramentas do Nvel de Metadados: Estas ferramentas processam estruturas de metadados, que armazenam detalhes sobre os arquivos. Metadados so dados sobre dados. Eles armazenam informaes sobre estruturas tais como entradas de diretrios na FAT, entradas MFT em sistemas NTFS, ou inodes em sistemas de arquivos UFS ou EXTFS. Ferramentas do Nvel de Blocos de Dados: Estas ferramentas processam blocos de dados onde o contedo de um arquivo fica armazenado, como por exemplo clusters em um sistema FAT. Outras Ferramentas: Estas ferramentas tm funcionalidades diversas, mas so importantes durante a anlise forense.
IFF
wvianna@iff.edu.br
158
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Sistema de Arquivos

fsstat: Mostra detalhes e estatsticas do sistema de arquivos, tal como layout, tamanho e labels. Ex: # fsstat -f linux-ext3 /dev/hda1
FILE SYSTEM INFORMATION -------------------------------------------File System Type: EXT2FS Volume Name: Last Mount: Mon Aug 16 08:09:27 2004 Last Write: Mon Aug 16 08:09:27 2004 Last Check: Mon Jun 2 10:17:54 2003 Unmounted properly Last mounted on: Operating System: Linux Dynamic Structure Compat Features: Journal, InCompat Features: Filetype, Recover, Read Only Compat Features: Sparse Super, Large File,
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Nomes de Arquivos

ffind: Procura por nomes de arquivos que apontem para uma dada estrutura de metadados. Ex: # ls -i /etc/passwd # ffind -f linux-ext3 /dev/hda1 <inode_passwd> fls: Lista nomes de arquivos alocados ou apagados em um diretrio. Ex: fls -a -d -r /dev/hda1 fls -m / -f linux-ext3 -a -p -r /dev/hda1 > data/hda1.mac
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Metadados

istat: Mostra estatsticas e detalhes sobre um determinado inode. Ex: # istat -f linux-ext3 /dev/hda1 49784 icat: Extrai uma unidade de dados de um disco, dado o endereo do metadado que aponta para este bloco. Permite extrair um arquivo a partir de um inode, sem precisar saber o nome do arquivo. Ex: # ls -i /etc/passwd 130919 /etc/passwd # icat /dev/hda1 130919 > /tmp/file.dat # md5sum /etc/passwd /tmp/file.dat d8f6d74f3cf8f05792027673407b2160 /etc/passwd d8f6d74f3cf8f05792027673407b2160 /tmp/file.dat
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Metadados

ifind: Procura a estrutura de metadados para o qual um determinado nome de arquivo aponta, ou a estrutura de metadados que aponta para um determinado bloco de dados. Permite, em conjunto com o comando ffind, achar qual nome de arquivo aponta para um bloco de dados (por exemplo, o bloco de dados que contm um texto importante que se quer recuperar). Ex: # grep ab hacked /data/hda1.img # ifind -f linux-ext3 /data/hda1.img -d $((<byte_offset/block_size)) # ffind -f linux-ext3 /data/hda1.img <inode_encontrado> # icat -f linux-ext3 /data/hda1.img <inode_encontrado> > recuperado.dat
Ferramentas do Nvel de Metadados

ils: Lista as estruturas de metadados e seus contedos em um formato fcil de se tratar. O ils faz com inodes o mesmo que o fls fez com nomes de arquivos. Ex: # ils r f linux-ext3 /dev/hda1 > /data/hda1.ils # ils -m -f linux-ext3 -e /data/hda1.img > /data/hda1.mac
IFF
wvianna@iff.edu.br
163
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Blocos de Dados

dstat: Mostra estatsticas e detalhes sobre um bloco de dados. Ex: dstat -f linux-ext3 /dev/hda3 185594 dcat: Extrai um bloco de dados de um disco. Utiliza-se esta ferramenta quando no for possvel identificar a qual arquivo ou inode pertence um determinado bloco. Permite recuperar dados parciais de arquivos. Ex: dcat -f linux-ext3 /dev/hda3 185594 dls: Lista detalhes sobre unidades de dados, e pode extrair dados desalocados de um file system. Os dados desalocados contm o espao livre em disco e os arquivos removidos. Ex: dls -e -f linux-ext3 /dev/hda1 10000-20000 > /data/freespace.dls dls -e -f linux-ext3 /dev/hda3 > /data/hda1.dls
Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Blocos de Dados

dcalc: Calcula se dados em uma imagem de dados desalocados (extraido com o dls) existem na imagem original, ou vice-versa. Este comando usado para encontrar na imagem original onde est um bloco de dados encontrado na imagem de dados desalocados. Ex: # grep -ab hacked /data/hda1.dls # dcalc -u $((<offset_dls>/<block_size>)) -f linux-ext3 /data/hda1.img
IFF
wvianna@iff.edu.br
165
Ambiente e Ferramentas de Anlise Forense Outras Ferramentas

mmls: Mostra informaes sobre o layout do disco, incluindo espaos no alocados. A sada identifica o tipo das parties e seus tamanhos, que torna fcil para usar o comando dd para extrair parties. A sada ordenada pelo setor inicial, o que torna fcil encontrar espaos no layout. Ex: # mmls -t dos hda1.img hfind: Para um dado arquivo suspeito, procura em bancos de dados de hash criptogrficos conhecidos pela existncia do arquivo, para verificar sua autenticidade. Diversos bancos de dados podem ser usados como fonte: Ex: # hfind -i md5sum /data/bindir.md5 # hfind /data/bindir.md5 a26e20a9f183277af1551b8a429ae212
Ambiente e Ferramentas de Anlise Forense Outras Ferramentas

mactime: Pega a sada dos comandos ils ou fls e cria um timeline, ou linha de eventos, da atividade de arquivos no disco. O timeline a principal ferramenta para remontar os passos de uma invaso. Ex: mactime b /data/hda1.fls p /etc/passwd z GMT-3 sorter: Analisa e ordena os arquivos em uma imagem de disco baseado em um banco de dados de assinaturas de arquivos. Serve para identificar rapidamente se existem em disco arquivos de um determinado tipo. Ex: sorter f linux-ext3 d /data/store_dir /dev/hda1
CD de Ferramentas
Durante uma investigao, importante que o investigador tenha em mos todas as ferramentas necessrias para o seu trabalho. Deve-se criar um CD com ferramentas teis ao trabalho do investigador. A primeira coisa que deve existir em um CD de ferramentas forenses um interpretador de comandos confivel. Compilar estaticamente todas as ferramentas do CD, para evitar ser comprometido por binrios ou bibliotecas suspeitas.
CD de Ferramentas
Alm de um interpretador de comandos, o CD deve conter as seguintes ferramentas:
Todas as ferramentas bsicas vistas anteriormente. Todas as ferramentas do pacote forense escolhido. Ferramentas bsicas do sistema: ls, cp, mv, rm, chroot, cat, less, more, chmod, chown, chgrp, date, df, du, cut, sort, strip, tail, head, ln, arp, echo, env, hostname, id, ifconfig, pwd, touch, uniq, uptime, wc, who. Ferramentas de manipulao de objetos e compilao: cc, ld, nm, ldd, addr2line, ar, as, gprof, objcopy, objdump, ranlib.
Anlise
Analisar imagem de teste

1 Determinar as efidncias; 2 Determinar a linha de tempo das operaes;
IFF
wvianna@iff.edu.br
170

Curso Seg Da Informacao V3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Curso Seg Da Informacao V3

Uploaded by

Copyright:

Available Formats

SEGURANA DE REDES

William da Silva Vianna Dsc Instituto Federal Fluminense

INTRODUO Vdeo animado sobre a Internet

CGI.br- Comit Gestor da Internet no Brasil

INTRODUO Conceito de segurana de computadores

confidencialidade, integridade e disponibilidade.

INTRODUO Conceito de incidente de segurana

INTRODUO Conceito de vulnerabilidade

INTRODUO Estimativas de 5 a 50 bugs/Kloc

INTRODUO Conceito de malware

INTRODUO Vdeo sobre malware

CGI.br- Comit Gestor da Internet no Brasil

INTRODUO Conceitos de segurana fsica e lgica

INTRODUO Conceitos de segurana fsica e lgica

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas

INTRODUO O perfil dos invasores de sistemas;

INTRODUO Vdeo sobre spam

CGI.br- Comit Gestor da Internet no Brasil

INTRODUO Complexidade versus conhecimento

INTRODUO Incidentes reportados ao CERT.br

INTRODUO Proxy aberto - CERT.br

INTRODUO Tipos de ataques acumulados Jan-Mar2009

INTRODUO Incidentes reportados ao CAIS - RNP

INTRODUO Vdeo sobre defesa para clientes da Internet

CGI.br- Comit Gestor da Internet no Brasil

SEGURANA DE REDES E SISTEMAS

CONTEDO PROGRAMTICO RESUMDO

PR-REQUISITOS BSICOS DESEJVEIS

SEGURANA DE REDES E SISTEMAS

As tcnicas utilizadas para se planejar um ataque, so:

Footprinting Obteno de informaes

Scanning Identificao de servios ativos

Enumeration Identificao dos recursos que fornecem os servios

SEGURANA DE REDES E SISTEMAS

www.internic.net whois.nic.gov www.google.com www.registro.br

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

O scanning tenta identificar os servios ativos:

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

Denial Of Service - DOS

SEGURANA DE REDES E SISTEMAS

Vtima Internet Atacante Master

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

SEGURANA DE REDES E SISTEMAS

INTERNET Atacante Rede Amplificadora

SEGURANA DE REDES E SISTEMAS

Confivel com atacante Sobrecarga em Y Origem forjada em Y Pedido de conexo