Post on 30-Nov-2014
description
1
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Análise Forense de Redeutilizando Software Livre
Rafael Soares FerreiraDiretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação
2
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
IntroduçãoAnálise Forense de Rede
• Captura e Análise de pacotes
• Reprodução da sessão capturada
• Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados)
3
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Introdução
• Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques)
• Portas suspeitas
• Pacotes contendo comandos, saídas de comandos e códigos de NOP’s;
• Flood de pacotes para um determinado serviço ou máquina
Análise Forense de Rede
4
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Introdução
Requisições HTTP suspeitas:
• Mesma URL em várias requisições
• URL’s contendo referências a comandos
Análise Forense de Rede
5
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresTcpdump - http://www.tcpdump.org
• Ferramenta tradicional de captura de tráfego
• Aceita filtros por expressões
• Biblioteca padrão para captura de tráfego: libpcap
6
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresNgrep - http://ngrep.sourceforge.net/
● Busca expressões regulares em payloads
● Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e formato Raw
● Funciona em redes Ethernet, PPP, SLIP, FDDI, Token Ring
7
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresNtop - http://www.ntop.org
● Exibe dados sobre a utilização da rede
● Gera estatísticas de uso utilizando diversos critérios
● Identifica sistemas operacionais passivamente
● Exibe tráfego de comunicação interna
8
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresNtop - http://www.ntop.org
9
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresTcpxtract - http://tcpxtract.sourceforge.net
● Extrai arquivos contidos no tráfego de rede capturado
● Identificação através de headers e footers (“file carving”)
● Suporte aos principais tipos de arquivo
10
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresWireshark / tshark - http://www.wireshark.org
● Captura em tempo real
● Suporta vários formatos e fontes de captura
● Multi-platforma
● Análise de cabeçalhos em árvore (encapsulamento)
11
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresWireshark / tshark - http://www.wireshark.org
● Aplicação de regras e filtros
● Funcionalidades específicas para análise de tráfego de VoIP
● Reconstrução de Sessão
12
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresWireshark / tshark - http://www.wireshark.org
13
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresWireshark / tshark - http://www.wireshark.org
14
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresWireshark / tshark - http://www.wireshark.org
15
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
● Network Forensic Analysis Tool (NFAT)
● Análise de informações que trafegaram pela rede
● Extrai informações como:✔ email (POP, IMAP, SMTP)✔ Conteúdos HTTP✔ Chamadas VoIP (SIP)✔ FTP, TFTP, …
16
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
● Composto por 4 macro-componentes:
* Decoder Manager * IP decoder * Um conjunto de manipuladores de dados * Sistema de visualização para os dados extraídos
● Desenvolvido utilizando as linguagens C, Python, PHP e JavaScript
17
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
● Distribuído sob a licença GPL versão 2
● Algumas partes apresentam licenças específicas compatíveis com a GPL (descritas em seus respectivos arquivos fonte)
18
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
● A interface (Xplico Interface - XI) é distribuída sob 3 licenças distintas:
* Mozilla Public License (>= 1.1)
* GNU General Public License (>= 2.0)
* GNU Lesser General Public License, (>= 2.1)
19
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
20
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
21
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
22
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
23
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
24
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
25
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
26
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
27
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
28
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Ferramentas LivresXplico - http://www.xplico.org
29
Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5
Fim...
Muito Obrigado!
Rafael Soares Ferreirarafael@clavis.com.br Diretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação