Segurana em Servidores Linux

Ferramentas de Diagnstico
de Segurana
Prof. Humberto Caetano
Faculdade Santo Agostinho
Ps-Graduao em Redes de Computadores

Tripwire

2015

Uma das aes mais bsicas realizadas por

um atacante ao obter acesso a um sistema
manter esse acesso.
A forma mais fcil de manter o acesso
substituir arquivos do sistema, de forma que
o administrador no consiga saber que o
atacante est no servidor.
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

2.19

Tripwire

Instalando o Tripwire

# apt-get install tripwire

(Aqui ser solicitada a criao de uma senha. Esta senha
ser utilizada para efetuarmos as alteraes no sistema)

Ao final da instalao recebemos a seguinte mensagem:

2015

Os binrios do Tripwire esto localizados em /usr/sbin e a

base de dados est localizada em /var/lib/tripwire.
altamente recomendado que estas localizaes sejam
armazenadas em mdia protegida contra gravaes (por
exemplo, disquetes montados com acesso somente leitura).
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

3.19

Tripwire

2015

O Tripwire trabalha com polticas. Elas

definem quais diretrios sero adicionados ao
controle do Tripwire. Uma poltica
razoavelmente boa, e bsica, protegermos
os diretrios /bin, /sbin, /usr/bin, /lib e
/etc.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

4.19

Lab 24: Tripwire

Configurando o Tripwire

Primeiro editamos o arquivo de configurao e

geramos o arquivo de polticas
# vim /etc/tripwire/twpol.txt
# twadmin --create-polfile /etc/tripwire/twpol.txt
Please enter your site passphrase:
Wrote policy file: /etc/tripwire/tw.pol

2015

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

5.19

Lab 24: Tripwire

Configurando o Tripwire

Vamos criptografar o arquivo de configurao

# twadmin --create-cfgfile --cfgfile
/etc/tripwire/twcfg.enc --site-keyfile
/etc/tripwire/site.key /etc/tripwire/twcfg.txt
Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/twcfg.enc

2015

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

6.19

Lab 24: Tripwire

Configurando o Tripwire

Agora vamos gerar a base de dados.

# tripwire --init --cfgfile /etc/tripwire/twcfg.enc --polfile
/etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --localkeyfile /etc/tripwire/debian-local.key
Please enter your local passphrase:
Parsing policy file: /etc/tripwire/tw.pol
Generating the database...
*** Processing Unix File System ***
Wrote database file: /var/lib/tripwire/debian.twd
The database was successfully generated.

2015

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

7.19

Lab 24: Tripwire

Configurando o Tripwire

Efetuando uma checagem:

# tripwire --check
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...

2015

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

8.19

Nessus

2015

Nessus uma ferramenta para auditoria de

segurana. Com ele possvel verificar varias
vulnerabilidades em sua rede. O nessus
permite que se faa isso de uma forma
segura, nao permitindo que usurios no
autorizados possam scanear sua rede com
ele. Ele composto por duas partes, sendo
um cliente e um servidor.
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

9.19

Lab 25: Nessus

Instalando

http://www.tenable.com/download/

# dpkg -i Nessus-5.0.1-debian6_i386.deb

# /etc/init.d/nessusd start

2015

Precisamos obter um cdigo de utilizao.

http://www.nessus.org/products/nessus/nessusplugins/obtain-an-activation-code
Agora acessamos o Nessus via navegador utilizando o
endereo https://IP_DO_LINUX:8834
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

10.19

SNORT

2015

Sistemas de deteco de intruso (IDS) so

ferramentas inteligentes capazes de detectar
tentativas de invaso em tempo real.
O SNORT uma ferramenta NIDS (o N =
Network) open source, com um grande
cadastro de assinaturas, leve e capaz de fazer
varreduras e verificar anomalias na rede.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

11.19

SNORT

Virtudes do SNORT

2015

Extremamente Flexvel:

Algoritmos de Inspeo baseados em Regras.

Sem falsos positivos inerentes.

Controle Total do refinamento das regras.

Metodologias de deteco Multi-Dimensional:

Assinaturas (Impresses Digitais) do Ataque.

Anomalias no Protocolo.

Anomalias no Comportamento.

Imensa Adoo (Comunidade SNORT):

Dezenas de Milhares de Instalaes (42 mil).

Algumas das maiores empresas do mundo.(Microsoft, Intel,PWC..)

Milhares de Contribuidores fazendo regras para novas vulnerabilidades.

Infra-estrutura de Suporte da Comunidade Open Source:

Rpida Respostas s ameaas.

Velocidade de Inovao.

Velocidade de Refinamento.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

12.19

SNORT

Fraquezas do SNORT

Performance Modesta:

2015

Menos de 30mbps, para redes de at 10Mbps.

Interface Grfica Limitada:

Configurao do Sensor.

Gerenciamento de Regras.

Implementao lenta e cansativa (pelo menos 10 dias).

Capacidade Analtica Limitada.

Sem Suporte Comercial:

Dependncia de pessoas "capacitadas", nem sempre estveis...

Gastos Significativos com Recursos Humanos.

Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

13.19

Lab 26: SNORT

2015

Instalao

# apt-get install ethtool

# ethtool -K eth0 gro off

# ethtool -K eth0 lro off

# apt-get install snort

Durante a instalao o snort vai perguntar

qual a rede local: 192.168.0.0/24
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

14.19

Lab 26: SNORT

2015

Instalao

# vim /etc/snort/snort.conf

(procure pela varivel HOME_NET)

ipvar HOME_NET 192.168.0.0/24

(procure pela varivel output unified2)

output unified2: filename snort.log, limit 128

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

15.19

Lab 26: SNORT

Vamos criar algumas regras de teste

2015

# vim /etc/snort/rules/local.rules
alert icmp $EXTERNAL_NET any ->
$HOME_NET any (msg:"ICMP Test NOW!!!";
classtype:not-suspicious; sid:1000001; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET
80 (msg:"HTTP Test NOW!!!"; classtype:notsuspicious; sid:1000002; rev:1;)
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

16.19

Lab 26: SNORT

Agora podemos testar:

( Apenas um sniffer de pacotes). CTRL+C para parar.

# snort -i eth0 -v

(Analisando as configuraes)

2015

# sudo snort -A console -u snort -g snort -c

/etc/snort/snort.conf -i eth0 -T
(Iniciando o snort no modo live alert)
# sudo snort -A console -q -u snort -g snort -c
/etc/snort/snort.conf -i eth0
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

17.19

Lab 26: SNORT

2015

A partir de uma mquina externa faa um

ping em seu Linux. E use o telnet para
acessar a porta 80.

# ping IP.IP.IP.IP

# telnet IP.IP.IP.IP 80

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

18.19

Lab 26: SNORT

2015

Agora vamos ver os arquivos de log e utilizar

o tcpdump para analisar o trfego.

# ls -lt /var/log/snort

# cd /var/log/snort

# tcpdump -n -e -r tcpdump.log.[data_captura]

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

19.19