Ferramentas de Rede - Instruções de Uso

A seguir estão relacionadas instruções de uso de alguns dos pacotes adicionados à edição especial do CD do Kurumin desenvolvido para a Linux Magazine. Nos artigos da revista podem ser encontradas instruções de uso para outros desses pacotes.

dhcp3-server:

Para usar o servidor DHCP, você deve primeiro editar o arquivo /etc/dhcp3/dhcpd.conf.

Este é um exemplo de arquivo, que serviria para um servidor que está compartilhando a conexão com os micros da rede interna:

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;

authoritative;

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.200;
option routers 192.168.1.100;
option domain-name-servers 200.204.0.10;
option broadcast-address 192.168.1.255;
}

Depois de configurar o arquivo, você pode startar o servidor com o comando

# service dhcp3-server start (como root)

Lembre-se que para definir a senha de root ao rodar o Kurumin do CD, você precisa apenas rodar o comando "sudo passwd"

Nessus :

O Nessus é dividido em duas partes. O servidor (nessusd) é o programa em sí, que cuida de toda a parte pesada e o cliente (nessus) é apenas uma interface para ele.

Para usar o nessus você deve primeiro iniciar o servidor com o comando:

# nessusd -D (como root)

Em seguida você precisará criar um login de usuário. Para criálo, chame o programa nessus-adduser. Ele pedirá o login e senha, o tipo de autenticação (escolha sempre cipher) e permitirá que você adicione regras para o usuário. Se você quiser apenas criar o usuário usando as regras default basta pressionar Ctrl + D. Ele pedirá uma última confirmação, basta responder "y":

# nessus-adduser

Addition of a new nessusd user

------------------------------

Login : seu_nome Password : mais_que_12_caracteres:-)

Authentification type (cipher or plaintext) [cipher] : cipher
Now enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rule set)

^D

Login : seu_nome
Password : mais_que_12_caracteres:-)
Authentification : cipher
Rules :
Is that ok (y/n) ? [y] y

user added.

Depois de criar o usuário, rode o comando nessus-mkcert que criará um certificado SSL para o servidor Nessus. Esta etapa só é necessária se você tiver o pacote SSL instalado no sistema.

O Nessus utiliza um sistema cliente-servidor, onde uma vez iniciado o módulo servidor passa a ser possível rodar o cliente em qualquer máquina da rede (para isso é criado o login de usuário). O certificado oferece uma segurança maior ao acessar o servidor Nessus, pois garante que ele não foi substituído por outra máquina comprometida.

Com o servidor aberto, chame o cliente usando o comando:

$ nessus (como usuário)

O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele será capaz de detectar uma vulnerabilidade no seu Apache, mesmo que ele esteja ativo na porta 46580 por exemplo.

A página oficial é a http://www.nessus.org onde você pode baixar o pacote instalável e ler as instruções de instalação e uso.

Nas configurações do programa você tem acesso a várias opções, entre elas a faixa de portas TCP e UDP que devem ser escaneadas.

Se você quiser um teste completo, use a faixa 1-65536. Este teste é ideal para PCs da rede local, mas pode demorar bastante caso seja feito via Internet. Basicamente, ele envia um pacote TCP e outro pacote UDP para cada porta e para cada PC a ser testado. Se você quiser testar uma faixa inteira de endereços IP, com seus 255 PCs teremos nada menos que 33.423.360 pacotes, que correspondem a mais de 750 MB de dados.

Alguns testes do Nessus podem travar alguns PCs vulneráveis, como por exemplo estações Windows 95 vulneráveis ao "ping da morte". A opção "Safe checks" desativa testes potencialmente perigosos, evitando prejuízos aos usuários. De qualquer forma, o ideal é fazer o teste à noite, ou em algum horário em que os PCs não estejam sendo utilizados.

Na seção "Target Selection" você define o alvo, fornecendo seu IP. Se você quiser testar as vulnerabilidades da própria máquina local, o endereço é o "localhost". Se você quiser testar de uma vez toda a sua rede local, basta fornecer o endereço da rede, como em "192.168.0.0" ou "10.0.0.0".

Concluído o teste, ele exibe uma lista com as vulnerabilidades encontradas em cada PC. Existem três níveis de alerta, o primeiro e mais grave tem o símbolo de uma luz vermelha e indica uma brecha de segurança em um servidor ativo na máquina. Além de apontar o problema, o Nessus oferece uma descrição detalhada da vulnerabilidade e aponta uma solução.

O segundo nível é um alerta de que um serviço potencialmente inseguro está ativo numa determinada porta do sistema, como por exemplo um servidor Telnet ou XDMCP. Nestes casos, pode não haver nenhuma vulnerabilidade específica, mas o fato o serviço ser fundamentalmente inseguro já representa uma brecha de segurança. Tanto o Telnet quanto o XDMCP transmitem dados de forma não encriptada, o que permite que alguém mal intecionado possa sniffar a rede, capturando os dados transmitidos, incluindo as senhas dos usuários.

O terceiro nível de alerta tem o símbolo de uma luz. Estes são apenas lembretes de que existe um servidor ativo na porta indicada mas sem que fosse detectada qualquer brecha de segurança

Naturalmente, assim como você pode utilizar o Nessus para detectar e tapar brechas de segurança, outras pessoas podem utiliza-lo para detectar suas vulnerabilidades e lançar ataques. Hoje em dia a variedade de scripts e ferramentas gráficas prontas que exploram vulnerabilidades é tão grande que você pode encontrar algum exploit fácil de usar para praticamente qualquer vulnerabilidade que você possa encontrar. Basta saber fazer pesquisas no Google.

Estes exploits prontos são o grande perigo, pois não requerem nenhum tipo de prática ou habilidade para serem usados. Basta indicar o IP a ser atacado e pronto. Ou seja, aquele garoto com quem você brigou no chat pode muito bem fazer um estrago na sua rede caso você tenha alguma vulnerabilidade grave, por isso é importante resolver o problema antes que alguém o faça por você.

O Nessus é só o primeiro passo. Caso você rode qualquer tipo de servidor na sua máquina é importante acompanhar sites especializados em notícias relacionadas à segurança, como o http://lwn.net e o http://www.linuxsecurity.com . A maioria das distribuições oferecem boletins por e-mail que avisam quando novas atualizações de segurança estão disponíveis.

Lembre-se que apesar das notícias de brechas e atualizações serem sempre muito frequêntes, você só precisa se preocupar com os servidores que você mantém ativos na sua máquina. Se você mantém apenas o SSH e o Proftp por exemplo, não precisa se preocupar com as atualizações do Apache e do Sendmail. Além dos servidores, clientes de e-mail (Evolution, Kmail, etc.) e navegadores (Konqueror, Mozilla, etc.) também costumam receber atualizações de segurança com uma certa frequência.

vncserver:

Para abrir o servidor VNC basta abrir um terminal (como usuário, não como root!) e usar o comando:

$ vncserver

Para acessar a partir de outra máquina, use o comando:

$ vncviewer 192.168.0.2:1

Onde o "192.168.0.2" é o IP da máquina que está sendo acessada e o ":1" é o número da instância, que é fornecido ao abrir o vncserver. Você pode chamar o vncserver várias vezes no servidor e assim abrir várias instâncias independentes que poderão ser acessadas em várias máquinas simultâneamente.

O VNC server do Kurumin vem configurado para abrir uma tela de 1012x704 com 16 bits de cor por padrão (para ocupar quase toda a tela, mas sem cobrir a barra de tarefas do KDE ou do Windows). Para alterar esta configuração, abra o arquivo /etc/vnc.conf e procure pelas linhas:

$geometry ="1012x704";
$depth = "16";

Você pode altera-las para o valor desejado.

A configuração visual do Kurumin é um pouco pesada para o VNC, para um melhor desempenho é recomendável desativar o papel de parede e os menus do Karamba ao acessar via VNC.

Veja mais detalhes sobre o VNC no meu tutorial:

http://www.guiadohardware.net/tutoriais/066/

Ethereal:

Além do Nessus, outro aliado importante de todo administrador de redes é o Ethereal, um poderoso sniffer. Bem, assim como o Nessus ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes, por isso ele é às vezes visto como uma "ferramenta hacker" quando na verdade o objetivo do programa é dar a você o controle sobre o que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso não autorizado.

O Ethereal não costuma ser incluído nas distribuições, mas você pode baixá-lo no:

http://www.ethereal.com

Para usá-lo, basta chama-lo como root:

# ethereal

O Ethereal é um daqueles programas com tantas funções que você só consegue aprender realmente usando. Para começar, nada melhor do que capturar alguns pacotes. Clique em Capture > Start

Aqui estão as opções de captura. A primeira opção importante é a "Capture packets in promiscuous mode", onde você decide se quer capturar apenas os pacotes endereçados à sua própria máquina, ou se quer tentar capturar também pacotes de outras máquinas da rede.

Isto é possível pois os hubs tradicionalmente apenas espelham as transmissões, enviando todos os pacotes para todas as estações. No início de cada pacote vai o endereço MAC do destino. Este é o endereço físico da placa de rede, que ao contrário do IP não pode ser facilmente alterado. Normalmente a placa escuta apenas os pacotes destinados a ele, ignorando os demais, mas no promiscuous mode ela passa a receber todas as comunicações, destinadas à todas as placas.

Em seguida, você tem a opção "Update list of packets in real time". Ativando esta opção os pacotes vão aparecendo na tela conforme são capturados, em tempo real. Caso contrário você precisa capturar um certo número de pacotes para só depois visualizar todo o bolo.

Mais abaixo estão também algumas opções para interromper a captura depois de um certo tempo ou depois de capturar uma certa quantidade de dados. O problema aqui é que o Ethereal captura todos os dados transmitidos na rede, o que pode rapidamente consumir toda a memória RAM do micro :-)

Dando o OK será aberta a tela de captura de pacotes, onde você poderá acompanhar o número de pacotes capturados.

Na tela principal temos a lista dos pacotes, com várias informações como o remetente e o destinatário de cada pacote, o protocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informações, que incluem a porta TCP a que o pacote foi destinado.

Clicando sobre um dos pacotes e em seguida em "Follow TCP Strean" o Ethereal mostrará uma janela com toda a conversão, exibida em modo texto.

Monitorando sua conexão durante algum tempo você vai logo perceber vários tipos de abusos, como sites que enviam requisições para várias portas da sua máquina ao serem acessados, banners de propaganda que enviam vários informações sobre seus hábitos de navegação para seus sites de origem, gente escaneando suas portas usando programas similares ao Nessus que vimos acima, programas que ficam continuamente baixando banners de propaganda e assim por diante.

Estas informações são úteis não apenas para decidir quais sites e serviços evitar, mas também para ajudar na configuração do seu firewall. Pode ser que no início você não entenda muito bem os dados fornecidos pelo Nessus, mas depois de alguns dias observando você vai começar a entender muito melhor como as conexões TCP funcionam.

Bem, como disse, o Ethereal pode ser usado também pelo lado negro da força. Se você estiver numa rede local, com micros ligados através de um hub, outro usuário pode usar o Ethereal para capturar todas as suas transmissões.

O Ethereal pode interceptar mensagens de e-mail (incluindo login e senha), dados transmitidos via Web ou FTP, seções de Telnet (novamente, incluindo login e senha) e assim por diante.

Isto é EXTREMAMENTE perigoso. Qualquer um, que tenha a chance de plugar um notebook na rede e pegá-lo de volta depois de algumas horas poderá capturar dados e senhas suficientes para comprometer boa parte do sistema de sua empresa. Apenas conexões feitas através do SSH e outros programas que utilizam encriptação forte estariam a salvo.

Naturalmente, além de alguém de fora, existe a possibilidade de um dos seus próprios funcionários resolver começar a brincar de script kiddie, pregando peças nos outros e causando danos. Como vimos, isso não requer prática nem habilidade.

Enfim, a menos que você esteja numa simples rede doméstica, onde exista uma certa confiança mútua, utilizar um hub tradicional é simplesmente um risco grande demais a correr.

A solução para o problema é substituir seus hubs por switchs. A diferença básica é que enquanto o hub simplesmente repassa todos os pacotes para todos os micros ligados a ele, um switch analisa os pacotes baseados nos endereços físicos das placas de rede e envia cada pacote apenas para o seu destinatário correto. Isto faz com que os sniffers deixem de funcionar.

Antigamente os switchs eram muito mais caros que os hubs, mas atualmente os preços já estão muito próximos. Existe por exemplo um hub 10/100 da Encore que custa por volta de 50 dólares e já trabalha desta forma. Veja que cada porta possui três leds, um deles indica o estado do full-duplex, um recurso suportado apenas por switchs.

Este tipo de aparelho traz sempre a expressão "Switch" com destaque na embalagem, mas para ter certeza o melhor mesmo é submetê-lo ao teste do Ethereal. Se você conseguir capturar apenas seus próprios pacotes significa que o problema está resolvido.

Veja que isto apenas melhora a segurança, não torna a sua rede inviolável, já que alguém ainda poderia substituir o switch por outro hub caso tivesse acesso físico a ele, grampear os cabos de rede e assim por diante. Naturalmente isto também pode ser feito fora da sua rede, capturando os dados transmitidos através do seu ADSL por exemplo. O ideal é sempre utilizar conexões encriptadas, via SSH, algum tipo de VPN e assim por diante.

A maioria dos ataques, principalmente os feitos por funcionários da própria empresa baseiam-se justamente em capturar senhas transmitidas de forma não encriptada através da rede.