Vida Linux

Nesta parte da série sobre Firewall vamos tratar de ferramentas de análise. São ferramentas que nos permitem saber o que está acontecendo em nossa rede e quais as principais vulnerabilidades.

Saber o que se passa em nossa rede, quais as vulnerabilidades e onde concentrar esforços é, sem dúvida, uma informação muito importante. Existem uma série de ferramentas diferentes que podem lhe ajudar a identificar estas vulnerabilidades, vamos utilizar algumas delas como o nmap, tcpdump, nessus e o snort.

Nmap

O nmap é um port scanner, ou seja, ele faz uma varredura em uma ou mais máquinas a procura de portas abertas. Ele também pode ser utilizado para verificar quais máquinas estão respondendo na rede, assim como dar uma idéia do sistema operacional que está sendo executado.

A instalação do nmap pode ser feita através de alguma das ferramentas de instalação automatizada como o apt-get, yum ou yast. Vamos ao seu funcionamento.

Uma varredura inicial na rede poderia ser feita para verificarmos quais máquinas estão respondendo a ping.

# nmap -sP 10.2.0.1-254
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-12-15 14:31 BRT
Host 10.2.0.3 appears to be up.
MAC Address: 02:90:27:D3:C4:E1 (Unknown)
Host 10.2.0.7 appears to be up.
MAC Address: 00:0B:CD:F5:1D:71 (Compaq (HP))
Host 10.2.0.200 appears to be up.
MAC Address: 00:90:27:8B:60:7B (Intel)
Nmap finished: 254 IP addresses (9 hosts up) scanned in 13.641 seconds

Verifique que além de exibir o endereço das máquinas que estão respondendo a ping, ele também nos dá o fabricante do hardware da placa de rede que está sendo utilizada na máquina.

Podemos, também, fazer uma leitura das portas tcp que estão abertas em um determinado computador. Note que agora utilizaremos a opção sS que significa que faremos um teste no modo stealth, ou seja, tentaremos driblar um possível firewall existente na máquina de destino.

# nmap -sS 10.2.0.15
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-12-15 14:35 BRT
Interesting ports on 10.2.0.15:
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
1241/tcp open nessus
Nmap finished: 1 IP address (1 host up) scanned in 1.953 seconds

Ao utilizarmos a opção -O, iniciamos o modo de descoberta do sistema operacional. Veja o exemplo executado em uma máquina Windows em minha rede:

# nmap -O 192.168.254.2
Starting Nmap 4.20 ( http://insecure.org ) at 2008-02-05 09:11 BRT
Interesting ports on 192.168.254.2:
Not shown: 1694 filtered ports
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:E0:4C:FC:55:0F (Realtek Semiconductor)
Device type: general purpose
Running (JUST GUESSING) : Microsoft Windows XP|2000 (91%)
Aggressive OS guesses: Microsoft Windows XP SP2 (firewall disabled) (91%), Micro soft Windows 2000 Server SP4 (89%), Microsoft Windows 2000 SP4 (89%), Microsoft Windows XP SP2 (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at http://insecure.o rg/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 40.590 seconds

tcpdump

O tcpdump é um dos mais, se não o mais “famoso” sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP.

A instalação do tcpdump é um procedimento muito simples, bastando utilizarmos uma das ferramentas de gerenciamento de pacotes como o apt-get, yum ou yast. A sintaxe do comando é a seguinte:

# tcpdump [ opções ] [ expressão ]

As opções podem ser desde a interface de rede que será utilizada, até o número de bytes a serem recebidos. As expressões são definidas por palavras reservadas e operadores lógicos para selecionar um determinado tráfego de rede. As principais palavras reservadas são:

Tipo: host, net, port, …

Protocolo: ether, ip, tcp, udp, arp, rarp, …

Direção: src, dst, src and dst, src or dst, …

Operadores lógicos: and, or, not.

Então se quisermos analisar todo o tráfego que passa pela interface eth0, executaríamos a seguinte linha de comando:

# tcpdump -i eth0

Conexões originadas ou destinadas a um ip específico podem ser monitoradas assim:

# tcpdump -i eth0 src host 192.168.0.9 or dst host 192.168.0.9

Podemos também especificar portas de origem e destino com os comandos src port e dst port, um exemplo seria monitorarmos o tráfego destinado à porta 80 (http).

# tcpdump -i eth0 dst port 80

No próximo e último artigo da série falaremos sobre o Nessus e o Snort. Até lá!