portscanners e scanners de vulnerabilidadeuab.ifsul.edu.br › tsiad › conteudo › modulo5 ›...
TRANSCRIPT
33
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
Caro aluno(a),hoje vamos estudar outro tipo de ferramenta (aplicativo) bastante conhecida no mundo das redes de
computadores. Vamos entender os conceitos básicos por trás de seu funcionamento, como ela pode explorar as
vulnerabilidades nas redes, e como ela pode ser útil para administradores de sistemas que desejam aumentar o
nível de segurança de suas redes. Tenha uma ótima leitura!
Conceitos fundamentais para compreender ferra-mentas scannersAtualmente, qualquer livro ou curso técnico ligado à área de redes de computadores discute o conceito cliente-
servidor. Você já ouviu falar nele anteriormente e, provavelmente, estudou este conceito em algumas disciplinas
passadas. Ele é fundamental nos dias de hoje, sendo largamente utilizado na Internet, seja em nosso acesso
caseiro ou corporativo. Talvez você tenha esquecido e esteja se perguntando: Mas o que é o conceito cliente-
servidor? Para entender este conceito, basta pensar que vivemos imersos em um grande ambiente cliente-
servidor em nosso trabalho, diversão e, até mesmo, em casa. Basicamente, um programa que é implementado
utilizando este conceito é dividido em duas partes: a parte cliente e a parte servidor. Por exemplo, se possuirmos
uma máquina executando um sistema de banco de dados de uma empresa e uma estação executando um
programa que acessa estes dados via rede, o banco de dados em questão é um servidor, enquanto o programa
que o acessa é um cliente, ou seja, através dele é possível acessar o banco de qualquer estação da rede, desde
que o mesmo esteja instalado. Este é o principio básico no mecanismo cliente-servidor, onde sempre existe
um aplicativo sendo executado em uma estação provendo dados e serviços, e outro em uma estação cliente,
acessando este aplicativo.
O protocolo de rede TCP/IP é um dos mais ricos em exemplos de aplicativos cliente-servidor. Desde o seu
desenvolvimento e sua aplicação em vários sistemas operacionais como Unix, Linux, Windows NT, etc., uma
enorme quantidade de aplicativos e utilitários cliente-servidor surgiu utilizando-o como elemento de transporte.
Exemplos conhecidos para o sistema operacional Linux são o FTP e o Telnet. Estes dois aplicativos, o primeiro
voltado para transferência de arquivos e o segundo para emulação de terminais, foram durante muito tempo
ferramentas de comunicação entre redes heterogêneas. Com o desenvolvimento e o aprimoramento da Internet,
novos serviços surgiram aumentando a utilização do TCP/IP. Nos dias de hoje, tanto o Telnet quanto o FTP ainda
são utilizados, mas outros serviços como HTTP, SMTP, DNS e POP3 fazem parte do grupo de aplicações comuns
em sistemas operacionais voltados para a Internet. Estes serviços são importantes, pois todos são exemplos
clássicos de aplicações cliente-servidor. No entanto, sempre que cada serviço estiver sendo executado em uma
porta do TCP/IP, entram em cena algumas ferramentas que podem ser utilizadas tanto para o bem quanto para
o mal, os scanners.
Note que o TCP, que se localiza na camada superior a camada IP, é um protocolo orientado a conexão, dando
ao usuário uma maior confiabilidade na integridade dos dados que trafegam em uma conexão realizada. Esta
PortsCanners e sCanners de Vulnerabilidade
Unidade e
34
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
integridade é checada de diversas formas pelo TCP, como, por exemplo, através de temporização (timeout),
rotulação, checagem de sequencia e perda de dados. Caso algum problema ocorra com os dados que estão
sendo transmitidos, o TCP força o reenvio dos mesmos. Neste sentido, nos pacotes TCP alguns flags podem ser
marcadas para determinar algumas características do mesmo, possibilitando que a verificação da integridade
ocorra. Esses flags podem ser:
• PushFlag(PSH)–Informa ao TCP que ele deve enviar todos os pacotes, inclusive o pacote marcado com ssa flag, que estejam no buffer ao destinatário.
• UrgentFlag(URG)– Faz com que o pacote marcado com a mesma receba prioridade no envio.• Syncronize(SYN)– É usado para a sincronização dos números de sequencia.• Acknowledgement number (ACK) - Informa ao receptor qual próximo número de sequencia o emissor deseja receber.• Finalization(FIN)– É utilizado para finalizar uma conexão.
Em geral, estas flags descritas acima são utilizadas em técnicas de portscanning. Veremos isto na sequência desta
unidade.
o que são os scanners e como eles funcionam?Você deve estar se perguntando: O que são os scanners?! Basicamente, os scanners são programas que
percorrem as principais portas e serviços do sistema em busca de respostas. Um exemplo similar seria uma
pessoa percorrendo uma rua e indo de porta em porta nas casas, verificando se o dono deixou alguma aberta.
Existem inúmeros tipos de scanners, e eles são de grande ajuda tanto para administradores de redes como
para hackers mal intencionados. Os scanners mais populares são de domínio público, porém, também existem
scanners comerciais disponíveis. Se pensarmos em termos de segurança de redes, é fundamental que o
administrador conheça as fraquezas do sistema, pois inevitavelmente, cedo ou tarde, alguém de fora irá bater
à porta querendo bisbilhotar os dados armazenados no servidor ou em alguma máquina da rede. Quando isso
acontecer, é bom estar preparado!
Nos dias atuais, scanners são disponibilizados e atualizados periodicamente, sendo capazes de detectar as
vulnerabilidades mais comuns e, também, as mais recentes. Assim, cabe ao administrador da rede empregar o
uso de um scanner e providenciar a correção de uma possível vulnerabilidade antes que a mesma seja explorada
por algum hacker ou usuário indevido. Note que um scanner é uma ferramenta apenas capaz de detectar o
problema. Raros são aqueles que corrigem o problema ou automaticamente se aproveitam de uma falha para
obter algum nível de acesso. Essencialmente, podemos classificar os scanners em dois grupos distintos, os
Portscanners e os scanners de vulnerabilidade.
Portscanners são aqueles capazes de verificar as portas abertas de um sistema. Existem stealth Portscanners,
que podem não ser detectados, sendo necessárias ferramentas especializadas para sua detecção. O principal
objetivo de um portscanner é detectar as portas de serviços de um sistema, fazendo-as responder cada vez que
forem consultadas. Dentre as técnicas comumente utilizadas para portscanning estão:
• TCPCONNECTSCAN – Este tipo de scanner se conecta a porta e executa os três handshakes básicos (SYN, SYN/ACK e ACK). Ele é facilmente detectável.
• TCPSYNSCAN– Conhecido como half-open scanning, devido à conexão total TCP durante a operação. Dessa forma, evita que o log da operação fique no sistema. Normalmente, o programa envia um pacote SYN para a porta-alvo. Se for recebido um SYN/ACK do alvo, o programa deduz que a porta está no modo de escuta. Caso o retorno seja um RST/ACK, significa que a porta não está ativa naquele momento.
• UDPSCAN – Trata-se de um dos processos mais lentos de scanning, pois depende de fatores de utilização da rede e de recursos de sistema. O scanner envia um pacote UDP para a porta-alvo, se a resposta for ICMP port unreachable, a porta encontra-se fechada, caso contrário, o scanner deduz que a porta está aberta.
35
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
• TCPNULLSCAN–Neste caso, o scanner desativa todos os flags e aguarda do alvo um RST para identificar todas as portas fechadas. Tal técnica é baseada na RFC 793.
• TCPFINSCAN–O scanner envia pacotes FIN para a porta-alvo e espera o retorno de um RST para as portas fechadas. Esta técnica é baseada na RFC 793.
• TCPXMASTREESCAN–Neste caso, o scanner envia pacotes FIN, URG e Push para a porta-alvo e espera o retorno de um RST para as portas fechadas. Baseado também na RFC 793.
Scanners de vulnerabilidade são utilizados para detecção de vulnerabilidades em softwares executados em um
sistema. Este tipo de scanner é muito útil para o hacker, já que, através disto, ele pode escolher qual o exploit
a ser utilizado para a invasão. Existem diversos scanners de vulnerabilidade, mas muitos crackers desenvolvem
os conhecidos scanners private, scanners de uso pessoal e não divulgados, e os utilizam para realizar suas
invasões. Basicamente, a ideia do scanner de vulnerabilidade é, através de uma lista, checar se o sistema está
ou não executando um serviço com problemas. Estes scanners são facilmente desatualizados, pois existe uma
quantidade enorme de descobertas hoje lançadas em sites e fóruns de segurança.
É importante saber que não há uma medida que evite sua máquina de ser “scanneada”. Toda máquina que está na
Internet está sujeita a esta ferramenta. Entretanto, existem medidas que podem ser utilizadas para saber: a) quem
está “scanneando” sua rede e; b) o que pode ser apresentado no relatório do scanner. Estas duas funcionalidades
são implementadas por meio de IDS e firewall, respectivamente. O IDS (Intrusion Detection System) permite
descobrir quem está varrendo sua rede. Os IDS mais novos permitem, inclusive, detectar varreduras secretas
como a do Nmap – Stealth Scan. Regras de firewall em nível de pacote podem ser implementadas para evitar que
serviços internos não fiquem expostos publicamente. Assim, os scanners irão detectar apenas os serviços que
estão disponíveis publicamente. Na verdade, os scanners geralmente reconhecem que a porta está protegida
pelo firewall. O Nmap, por exemplo, quando se depara com esta situação apresenta o estado da porta como
sendo filtered, ou seja, filtrado pelo firewall.
36
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
alguns scanners largamente utilizadossuperscanO SuperScan é um scanner voltado exclusivamente para o ambiente Windows. Ele é capaz de realizar varreduras
de várias portas em uma rede baseada em ambiente Microsoft e gerar relatórios em arquivos. O interessante é
que este scanner, mesmo sendo para Windows, é totalmente gratuito. Seu instalador é um arquivo executável
.EXE, podendo ser facilmente instalado no Windows. A Figura 1 ilustra a interface gráfica desta ferramenta.
nmap (network Mapper)O Nmap é um dos scanners de porta mais populares entre hackers e especialistas de segurança, sendo considerada
a ferramenta básica e obrigatória para aqueles que desejam administrar uma rede de computadores. Ele é uma
ferramenta de simples operação e capaz de realizar até Stealth PortScans. Atualmente o Nmap está disponível
para uma variedade de sistemas operacionais, como, por exemplo, Unix, Linux, Windows, Solaris e MacOS. A
Figura 2 ilustra o prompt de comando do Windows com alguns dados gerados pelo Nmap, onde é possível
visualizar o estado e o serviço das portas fechadas e abertas.
37
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
nessusO Nessus é um aplicativo versátil de grande valia, pois funciona em diversas plataformas tais como Windows,
FreeBSD, Linux e MacOS. É importante salientar que o Nessus é composto por uma parte denominada cliente
e outra parte denominada servidor, a parte do servidor (nessusd) é a que efetivamente faz a varredura da rede
e detecta as falhas de segurança e a parte cliente (nessus) é a que provê a interface ao usuário, permitindo ao
mesmo analisar as vulnerabilidades. Há algum tempo a instalação do Nessus era totalmente gratuita e havia
somente a versão open source. Entretanto, algumas empresas se aproveitaram disso para ganhar dinheiro, pois
modificavam o código fonte, adaptavam de acordo com a necessidade do cliente e vendiam algo que deveria ser
gratuito. Em razão desses fatos a empresa desenvolvedora da ferramenta fechou o seu código fonte e liberou
duas versões: a Professionals, para a venda a empresas; e a Home, para usuários comuns interessados apenas
em aprender sua utilização, a qual é gratuita, mas que exige um cadastramento prévio no site <http://www.
nessus.org>. A Figura 3 apresenta a interface gráfica do Nessus para Windows, na qual podemos visualizar uma
lista de vulnerabilidades identificadas pela ferramenta.
38
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
Práticainstalando e utilizando o nessus no linux ubuntuPara realizar a instalação do Nessus, você precisará efetuar o cadastramento para receber a licença de uso.
Para tanto, basta acessar o endereço <http://www.nessus.org/register> e informar seu endereço de e-mail.
Normalmente, o código da licença é enviado ao seu e-mail em questão de minutos.
O Nessus pode ser baixado pelo endereço <http://www.nessus.org/download>, através de um arquivo .deb de
fácil instalação. Contudo, você pode fazer a instalação via apt-get.
O primeiro passo a ser executado é digitar no terminal do Linux o seguinte comando:
sudo apt-get install nessus nessusd
Com este comando o nessus (cliente) e o nessusd (servidor) serão instalados na máquina. Por padrão, o apt-get
instalará, também, todas as dependências da ferramenta. Isso levará alguns minutos, dependendo da velocidade
de sua conexão com a Internet. O passo seguinte é o registro, já citado anteriormente.
Na sequência, digite o seguinte comando, mas utilize o código de licença que você recebeu por e-mail.
sudo nessus-fetch -register 1C23-76HJ-QP08-IT2L-99RW
Ao fazer isso, todos os plugins serão automaticamente atualizados, não sendo necessário atualizar manualmente.
Caso a atualização não ocorra, devido a algum problema na rede ou na instalação, é possível fazer manualmente
através do comando:
sudo nessus-update-plugins
Agora teremos que criar um usuário para utilizar o programa.
sudo nessus-adduser
O seguinte passo-a-passo ocorrerá:
Login : grupo1
Authentication (pass/cert) [pass] : <ENTER>
Login password : *******
Login password (again) : *******
Is that ok ? (y/n) [Y]
user added.
Para iniciar o servidor (nessus daemon), execute o seguinte comando:
sudo nessusd -D
39
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
Por fim, você pode executar o nessus (cliente). Isto poderá ser feito de duas maneiras: a) através do menu
Aplicativos > Internet > Nessus; b) ou então digitando o seguinte comando no terminal de acesso:
sudo nessus
Após a execução do comando a interface gráfica do Nessus se abrirá. O programa é todo escrito em inglês, o
que dificulta um pouco sua manipulação. A primeira aba mostra o host onde o Nessus está instalado, no seu
caso o localhost e a porta onde o Nessus opera, que por padrão é a de número 1241. Logo abaixo é realizada a
autenticação do usuário, a mesma que já realizamos anteriormente.
Assim que o login for efetuado, o cliente se conectará ao servidor e a aba “Plugins” se abrirá. O usuário deverá
escolher quais utilizar. Por padrão estão todos marcados. Na aba “Plugins” você tem acesso à configuração dos
plugins, que são, na verdade, scripts responsáveis por detectar vulnerabilidades específicas. Por exemplo, ao
detectar que a porta 555 está aberta, o Nessus primeiro tentará identificar qual servidor está ativo, executando
um conjunto de testes. Se for detectado um servidor FTP, por exemplo, serão usados os plugins que detectam
vulnerabilidades em servidores FTP.
A aba “Target” permite definir os hosts alvos das varreduras. Se você desejar scannear apenas um host,
simplesmente informe o IP no campo em evidência. Se desejar varrer um range (intervalo) de várias máquinas,
digite o endereço inicial seguido de um traço e depois o endereço IP final. Isto pode ser feito, também, digitando-
se o endereço da rede seguido de uma barra, logo a frente deve ser indicado o número de bits da máscara de
subrede, exemplo: 192.168.1.0/24 ou então 192.168.1.1-253. Se você quiser scannear endereços desordenados,
salve os endereços a serem scanneados em um arquivo de texto. Após isto, clique em “read file” e abra o arquivo.
Dessa forma os IPs informados no arquivo de texto serão todos scanneados assim que o usuário clicar no botão
“Start the Scan”.
Na aba “Scan Option”, temos o range (intervalo) das portas a serem escaneadas. Ao contrário de alguns scanners
que só procuram por serviços em suas portas típicas, o Nessus procura em todas. Um exemplo disto é a porta
padrão do servidor Apache, de número 80. Em algumas ocasiões a porta 8080 é utilizada. O Nessus é capaz de
achá-la, mesmo que o serviço esteja rodando em uma porta incomum, como, por exemplo, a porta 396.
A opção logo abaixo na janela determina o número de hosts que serão verificados simultaneamente. O padrão
é de 20 hosts. Caso você queira aumentar, esteja ciente que isso consumirá mais recursos do servidor e mais
banda da sua conexão. A opção “Optimized Test” já vem marcada, isto garante que o Nessus agirá de forma
mais inteligente. Por exemplo, se em um scanning anterior ele detectou uma determinada falha, ao scannear o
mesmo host ele já tem essa informação e não precisará processar esse dado de novo, desta forma o scan fica
mais rápido em áreas já verificadas. A opção “Safe the Checks” quando marcada evita o travamento de algumas
máquinas com sistemas mais antigos que podem travar com facilidade.
Na aba “User”, o usuário poderá definir regras de acesso, definir quais hosts serão scanneados. Para isso basta
especificar a regra e clicar em “Add Rule”.
Outra característica interessante do Nessus é que, caso o usuário deseje instalar a versão cliente em um
determinado sistema operacional e a versão server em outro, isto é perfeitamente possível. Por exemplo, o
Windows XP possui algumas restrições quanto ao uso do Nessus, pois ele limita algumas de suas conexões TCP
por medidas de segurança. Desta forma seu uso no XP não é recomendável, sendo assim ele pode perfeitamente
ter sua parte server instalada em um sistema Linux, ou em um Windows Server, e sua versão cliente no Windows
XP.
40
Sis
tem
a U
nive
rsid
ade
Abe
rta d
o B
rasi
l - U
AB
| I
F S
ul-r
io-g
rand
ense
Segurança em Redes de Computadores | Unidade E
Um portscanner comum detecta as falhas de segurança e mostra quais portas estão abertas. O Nessus além de
fazer essa detecção, informa ao usuário quais portas estão abertas, quais as vulnerabilidades e o melhor de tudo,
sugere possíveis soluções para as falhas encontradas.
Por fim, tenha em mente que o Nessus é um portscanner diferenciado que utiliza plugins. Por esse motivo ele é
capaz de realizar scans e prover soluções para as falhas encontradas. É uma ferramenta muito útil no sentido de
prevenir possíveis ataques, capaz de ajudar você a ter um maior controle em relação à segurança de sua rede.
Por hoje é só! Não se esqueça de tentar instalar a ferramenta e configurá-la. Com um pouquinho de esforço você
se tornará um excelente administrador de redes. Até a próxima!
Referências:
Disponível em: <http://nmap.org/> Acesso em: fevereiro de 2011
Disponível em: <http://nmap.org/book/install.html>Acesso em: fevereiro de 2011
Disponível em: <http://www.thundercheats.com.br/forum/delphi/468034-tutorial-portscan-simples.html> Acesso em: fevereiro de 2011
Disponível em: <http://sectools.org/ > Acesso em: fevereiro de 2011
Disponível em: <http://wiki.sintectus.com/bin/view/GrupoLinux/ArtigoScanner> Acesso em: fevereiro de 2011