Falha de segurança em servidores na internet
A internet permite muitas possibilidades, desde o acesso rápido a notícias, encontrar amigos de infância em sites de relacionamento, pagar contas e assistir vídeos. Mas a internet não é só cercada de maravilhas fornecidas através da tecnologia, há também crackers (hackers do mal), furto ou desvio de informações, golpes, assédios e invasões a redes.
O objetivo desta dica é alertar aos administradores como detectar se sua rede está aberta ao público da internet e possui falhas de segurança em seus serviços. Esta dica será descrita para o sistemas operacionais baseados no Debian, como Ubuntu, Xubuntu e muitos outros.
Instalação dos programas
Devemos instalar algumas ferramentas no seu sistema operacional Linux (dig e nessus). Todos os comandos nesta dica serão executados como root:
# aptitude update
# aptitude install dig nessus nessusd
O Nessus é um aplicativo cliente/servidor. Precisamos inicializar o Nessus como servidor (nessusd):
# nessusd -D
No Nessus faz-se necessário criar um usuário para logar no nessusd (servidor Nessus):
# nessus-adduser
O programa pedirá os dados do novo usuário, tais como login, senha, senha em texto plano (padrão) ou encriptada.
Será necessário registrar e atualizar o seu Nessus, acesse o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e faça o registro como "HomeFeed". Será enviado para o seu e-mail o código de ativação:
# nessus-fetch --register 7042-E401-2288-C2D6-2269
# nessus-fetch --check
# nessus-fetch --plugins
Consultando servidores DNS na internet
Algumas empresas não configuram seus servidores DNS corretamente, permitindo realizar a consulta a zonas DNS inteiras, revelando assim a lista dos computadores cadastrados no serviço de consultas de nomes da empresa.
Vamos agora tentar descobrir o nome e o endereço de rede IP do servidor DNS de um domínio. Execute o comando abaixo:
# dig -t soa 3cta.eb.mil.br
O comando acima retornará como resposta o nome do SOA, isto é, Start Of Authority, que é o responsável pelo domínio consultado. Agora com o nome do SOA vamos descobrir o seu endereço de rede IP.
# dig -t a dns1.eb.mil.br
O comando retornará o endereço de rede IP. Agora com as informações coletadas vamos a transferência completa da zona DNS.
# dig -t axfr 3cta.eb.mil.br @200.199.248.5
Que ótimo, esta zona está bem configurada e não permitiu a transferência!
Agora vamos executar novamente a sequência de comandos mas em outra zona. Vamos detectar se o DNS realizará a transferência completa da zona.
# dig -t soa proguaru.com.br
# dig -t a apolo.planetsys.com.br
# dig -t axfr proguaru.com.br @200.155.11.74
Pronto, identificamos um DNS mal configurado, agora temos informações de máquinas que pertencem ao domínio. Temos uma lista com os respectivos nomes e endereços de rede IP. E vale uma dica nunca atribuir o nome da máquina com o serviço, por exemplo, um servidor de e-mails com o nome mail.proguaru.com.br e outro servidor ftp com o nome ftp.proguaru.com.br.
Testando balanceamento de endereços IPs dos servidores
Vamos confirmar os IPs e verificar se não há balanceamento do ip no servidores. Vamos executar o dig 4 vezes para cada endereço, analisando se o endereço de rede ip será sempre o mesmo. (alguns sites utilizam balanceamento de ip, exemplo Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
# dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br
# dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br
# dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br
# dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Identificamos que os nomes não respondem por vários endereços de rede IP, eles respondem por um único endereço IP.
Testando falhas de segurança nos endereços IPs dos servidores
O teste será realizado diretamente pelo endereço de rede IP dos servidores, poupando assim a resolução do nome.
Não será demonstrado como utilizar a ferramenta gráfica do Nessus, no VOL a vários artigos sobre o assunto. Vamos gerar o arquivo que conterá os endereços IP a serem testados:
# host ftp.proguaru.com.br | awk '{print $4}' > /tmp/ips_alvo.txt
# host mail.proguaru.com.br | awk '{print $4}' >> /tmp/ips_alvo.txt
# host mysql.proguaru.com.br | awk '{print $4}' >> /tmp/ips_alvo.txt
# host Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... | awk '{print $4}' >> /tmp/ips_alvo.txt
Agora vamos verificar as falhas de segurança através da ferramenta Nessus via console:
# nessus -T html -q 127.0.0.1 1241 <Usuário_do_Nessus> <senha_do_usuário_do_Nessus> /tmp/ips_alvo.txt /tmp/alvo.html -V
Conclusão
Agora abra o arquivo /tmp/alvo.html no seu browser e verifique o resultado dos testes! Você poderá encontrar falhas simples de serem corrigidas, como também algumas que deverão ter seus programas atualizados. Prepare-se, afinal como verificamos neste artigo a internet disponibiliza seus servidores e serviços a todos, muitas vezes com falhas e brechas de segurança e você não estava ciente.
Fonte: vivaoLinux
Postado Por: RedDeviL
A internet permite muitas possibilidades, desde o acesso rápido a notícias, encontrar amigos de infância em sites de relacionamento, pagar contas e assistir vídeos. Mas a internet não é só cercada de maravilhas fornecidas através da tecnologia, há também crackers (hackers do mal), furto ou desvio de informações, golpes, assédios e invasões a redes.
O objetivo desta dica é alertar aos administradores como detectar se sua rede está aberta ao público da internet e possui falhas de segurança em seus serviços. Esta dica será descrita para o sistemas operacionais baseados no Debian, como Ubuntu, Xubuntu e muitos outros.
Instalação dos programas
Devemos instalar algumas ferramentas no seu sistema operacional Linux (dig e nessus). Todos os comandos nesta dica serão executados como root:
# aptitude update
# aptitude install dig nessus nessusd
O Nessus é um aplicativo cliente/servidor. Precisamos inicializar o Nessus como servidor (nessusd):
# nessusd -D
No Nessus faz-se necessário criar um usuário para logar no nessusd (servidor Nessus):
# nessus-adduser
O programa pedirá os dados do novo usuário, tais como login, senha, senha em texto plano (padrão) ou encriptada.
Será necessário registrar e atualizar o seu Nessus, acesse o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e faça o registro como "HomeFeed". Será enviado para o seu e-mail o código de ativação:
# nessus-fetch --register 7042-E401-2288-C2D6-2269
# nessus-fetch --check
# nessus-fetch --plugins
Consultando servidores DNS na internet
Algumas empresas não configuram seus servidores DNS corretamente, permitindo realizar a consulta a zonas DNS inteiras, revelando assim a lista dos computadores cadastrados no serviço de consultas de nomes da empresa.
Vamos agora tentar descobrir o nome e o endereço de rede IP do servidor DNS de um domínio. Execute o comando abaixo:
# dig -t soa 3cta.eb.mil.br
O comando acima retornará como resposta o nome do SOA, isto é, Start Of Authority, que é o responsável pelo domínio consultado. Agora com o nome do SOA vamos descobrir o seu endereço de rede IP.
# dig -t a dns1.eb.mil.br
O comando retornará o endereço de rede IP. Agora com as informações coletadas vamos a transferência completa da zona DNS.
# dig -t axfr 3cta.eb.mil.br @200.199.248.5
Que ótimo, esta zona está bem configurada e não permitiu a transferência!
Agora vamos executar novamente a sequência de comandos mas em outra zona. Vamos detectar se o DNS realizará a transferência completa da zona.
# dig -t soa proguaru.com.br
# dig -t a apolo.planetsys.com.br
# dig -t axfr proguaru.com.br @200.155.11.74
Pronto, identificamos um DNS mal configurado, agora temos informações de máquinas que pertencem ao domínio. Temos uma lista com os respectivos nomes e endereços de rede IP. E vale uma dica nunca atribuir o nome da máquina com o serviço, por exemplo, um servidor de e-mails com o nome mail.proguaru.com.br e outro servidor ftp com o nome ftp.proguaru.com.br.
Testando balanceamento de endereços IPs dos servidores
Vamos confirmar os IPs e verificar se não há balanceamento do ip no servidores. Vamos executar o dig 4 vezes para cada endereço, analisando se o endereço de rede ip será sempre o mesmo. (alguns sites utilizam balanceamento de ip, exemplo Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
# dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br; dig -t a ftp.proguaru.com.br
# dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br; dig -t a mail.proguaru.com.br
# dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br; dig -t a mysql.proguaru.com.br
# dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... dig -t a Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Identificamos que os nomes não respondem por vários endereços de rede IP, eles respondem por um único endereço IP.
Testando falhas de segurança nos endereços IPs dos servidores
O teste será realizado diretamente pelo endereço de rede IP dos servidores, poupando assim a resolução do nome.
Não será demonstrado como utilizar a ferramenta gráfica do Nessus, no VOL a vários artigos sobre o assunto. Vamos gerar o arquivo que conterá os endereços IP a serem testados:
# host ftp.proguaru.com.br | awk '{print $4}' > /tmp/ips_alvo.txt
# host mail.proguaru.com.br | awk '{print $4}' >> /tmp/ips_alvo.txt
# host mysql.proguaru.com.br | awk '{print $4}' >> /tmp/ips_alvo.txt
# host Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... | awk '{print $4}' >> /tmp/ips_alvo.txt
Agora vamos verificar as falhas de segurança através da ferramenta Nessus via console:
# nessus -T html -q 127.0.0.1 1241 <Usuário_do_Nessus> <senha_do_usuário_do_Nessus> /tmp/ips_alvo.txt /tmp/alvo.html -V
Conclusão
Agora abra o arquivo /tmp/alvo.html no seu browser e verifique o resultado dos testes! Você poderá encontrar falhas simples de serem corrigidas, como também algumas que deverão ter seus programas atualizados. Prepare-se, afinal como verificamos neste artigo a internet disponibiliza seus servidores e serviços a todos, muitas vezes com falhas e brechas de segurança e você não estava ciente.
Fonte: vivaoLinux
Postado Por: RedDeviL
Comment