Linux Knoppix STD – Wikipédia, a enciclopédia livre

KNOPPIX-STD

Arquiteturas x86
Modelo do desenvolvimento Software Livre
Versão estável 0.1 / 13 de janeiro de 2004; há 20 anos
Família Knoppix
Núcleo Linux
Licença GNU GPL / Outras
Estado do desenvolvimento Decorrido
Website www.s-t-d.org/ (em inglês)., acessado pela última vez há 810 semanas e 4 dias
Origem comum  Alemanha
Portal do Software Livre

Knoppix STD (Security Tools Distribution) é uma distribuição Linux em Live CD baseda no Knoppix que é focado em ferramentas de segurança. Ele inclui ferramentas licenciadas sob GPL nas seguintes categorias: autenticação, criptografia, forensics, firewall, honeypots, IDS, utilitários de Rede, ferramentas de Senha, sniffers, ferramentas TCP, tunelamento, verificação de vulnerabilidades e ferramentas Wireless.[1]

Como os computadores agilizam o acesso as informações e os procedimentos de segurança surgem para controlar este acesso. Uma distribuição de um sistema de segurança é uma receita de bolo atraente para iniciantes.

Padrão Knoppix

[editar | editar código-fonte]

Knoppix é produto de um único CD comprimido, nenhuma instalação é necessária. A descompressão é transparente e fornece 1.600 Mb do software em um único CD de 700. Knoppix funciona em um computador sem HD. Sua filosofia geral é alcançar discos na modalidade de leitura o tanto quanto possível. Ideal na proteção contra acidentes para usuário inexperientes. Knoppix é excelente para demonstrações, recuperação de sistema e para testar o hardware de uma maquina.

Knoppix foi criado na Alemanha por Klaus Knopper. O projeto é acompanhado pela LinuxTag, uma equipe da Universidade Técnica de Kaiserslautern que realiza conferências, oficinas e exibições para todos interessados em Linux e em software livre.

O Sistema é software livre. É licenciado sob a licença do GNU General Public Licence (GPL). O software não é freeware e nem shareware e está concedido para funcionar, copiar, distribuir, estudar, mudar e melhorar.

Algumas de suas desvantagens: é um software experimental, o usuário assume os riscos. Executa algumas aplicações de forma lenta, por fazer leituras na mídia CD-ROM. E alguns hardwares são incompatíveis, como o modem dial-up interno e os externos USB, algumas impressoras baratas, determinados tipos de multimedia audio e DVD.

Knoppix-STD é uma coleção de ferramentas de segurança de código fonte aberto. É uma distribuição Linux personalizada do CD Knoppix Linux. Ela trabalha com ferramentas de gerência de segurança de rede e de informação. Permite ser usado de por pessoas inexperientes que desejam aprender sobre segurança da informação e pelo profissional que procura uma outra ferramenta de utilidade.

Esta distribuição lançada em 01/06 tem por vantagem sua portabilidade, com um conjunto de ferramentas de segurança que funciona apenas com um simples boot. Assim como o Knoppix original, esta distro oferece a possibilidade de se salvar as configurações em disquete/partição. Também é possível criar um diretório /home permanente em uma partição da máquina, criptografada se desejar.

Snort, Ethereal, EtherApe, Honeyd, Nessus, entre outras, fazem parte desta distro interessante. Para quem trabalha na área de segurança, outro ponto interessante de salientar é a de ter um conjunto de ferramentas de segurança livre do comprometimento de rootkits, por exemplo.

As ferramentas estão divididas nas seguintes categorias: autenticação RADIUS, criptografia, forensics, firewall, honeypots, IDS, utilitários de rede, ferramentas de senha, serviços, sniffers, ferramentas TCP, tunelamento, verificação de vulnerabilidades e ferramentas wireless.

Autenticação RADIUS

[editar | editar código-fonte]

RADIUS é a sigla de Remote Authentication Dial In User Service. É um padrão de autenticação e autorização utilizado para situações em que um equipamento de acesso remoto precisa autenticar usuários de conexões discadas, como no caso de um provedor. O RADIUS trabalha em um modelo cliente/servidor. O servidor é responsável por receber o pedido de conexão, autenticar o usuário, e autorizar, ou não, a conexão dial-up. A comunicação entre o Servidor RADIUS e o cliente é feita através do protocolo UDP, nas portas 1812 (autenticação - radius) e 1813 (accounting - radacct). O padrão RADIUS é definido pela RFC2865.

O servidor utilizado na distribuição é o FreeRADIUS. Um servidor de alta performance e configuração. Sua página é www.freeradius.org e a versão atual disponibilizada é 0.9.3.

Ferramentas da distro de authentication em /usr/bin/auth/ : freeradius 0.9.3 = GPL RADIUS server;

Criptografia é a conversão dos dados dentro de um padrão, chamado de cipher (ou codificação), que não pode ser entendido nem visualizado por pessoas não autorizadas. O dado é embaralhado e não pode ser manipulado sem sua própria decodificação.

As ferramentas da distro de encryption em /usr/bin/crypto/ são: 2c2 = multiple plaintext → one ciphertext; 4c = as with 2c2 (passivel de negacao); acfe = cryptanalysis tradicional; cryptcat = netcat + encryption; gifshuffle = ferramenta para imagens gif; gpg 1.2.3 = GNU Privacy Guard; ike-scan = VPN fingerprinting; mp3stego = ferramenta para mp3; stegbreak = brute-force stego'ed JPG; sslwrap = SSL wrapper; stunnel = SSL wrapper; super-freeSWAN 1.99.8 = IPSEC do núcleo; xor-analyze = outra ferramenta para cryptanalysis;

Forensics é a Ciência dividida em diversas disciplinas, que atua como investigador na busca pela verdade. Na distro, Forensics é uma referência no uso de software aberto em investigações digitais. A ideia é ter um local de fácil acesso para os usuários interessados em usar ferramentas abertas numa análise, utilizem durante uma investigação.

As ferramentas da distro de forensics em /usr/bin/forensics/ são: sleuthkit 1.66 = kit de ferramentas forensic toolbox; autopsy 1.75 = tarefa Web front-end; biew = visualizar binario; bsed = editor stream binario; consh = shell; coreography = analisa arquivos; dcfldd = DoD Computer Forensics; fenris = ferramenta de engenharia reversa e debugg; fatback = Undelete para arquivos FAT; foremost = especifica arquivos para imagem de disco; ftimes = ferramenta de sistema; hashdig = dig através de hash databases; hdb = java decompiler; md5deep = roda md5 em múltiplos arquivos e diretórios; memfetch = forca um dump de memória; pasco = browse; photorec = trabalha com arquivos para câmeras digitais; readdbx = converte Outlook Express .dbx arquivos para mbox formato; readoe = converte entrada Outlook Express .directory para mbox formato; secure_delete = swap, memória; testdisk = testa e recover ultimas partições; wipe = prepara uma partição para dd;

Um firewall é um dispositivo que funciona como corta-fogos entre redes, permitindo ou negando transmissões de uma rede a outra. Um uso típico é situá-lo entre uma rede local e a rede Internet, como dispositivo de segurança para evitar que os intrusos possam acessar à informação confidencial.

Um firewall é simplesmente um filtro que controla todas as comunicações que passam de uma rede a outra e em função do que sejam permite ou denega seu passo. Para permitir ou denegar uma comunicação o firewall examina o tipo de serviço ao que corresponde, como podem ser o web, o correio ou o IRC. Dependendo do serviço o firewall decide se o permite ou não. Ademais, o firewall examina se a comunicação está entrando ou saindo e dependendo da sua direção pode permití-la ou não.

Ferramentas da distro de firewall em /usr/bin/fw/ : blockall = script para bloquear todo tráfego inbound TCP (exceto localhost); flushall = flush para rodar firewall rules; firestarter = firewall; firewalk = mapea um firewall; floppyfw = turna um floppy firewall; fwlogwatch = monitor logs de firewall; iptables 1.2.8; gtk-iptables = GUI front-end; shorewall 1.4.8-RC1 = iptables baseado em pacote.

Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. Honeynets também são redes compostas de uma sub-rede de administração e de uma sub-rede de honeypots.

Existem Honeynets de Pesquisa e de Produção. O primeiro são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento de invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas. Enquanto de Produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. O uso de Honeypots tem-se o propósito de: identificar varreduras e ataques automatizados, identificar tendências, manter atacantes afastados de sistemas importantes, coletar assinaturas de ataques e coletar código malicioso.

Na distribuição as ferramentas de honeypots encontradas em /usr/bin/honeypot/ são: honeyd 0.7 ; labrea = scanner de portas e trabalha com worms; thp = outro honeypot.

Do ponto de vista antropológico, as motivações para a criação de honeypots partem não só da necessidade da defesa ou da prevenção, mas também é fortemente baseada na vontade da maioria dos usuários e engenheiros de sistemas computacionais, ligados ou não a redes, em contra-atacar, seja por desejo de justiça, seja por atender ao apelo humano, básico, de utilizar-se de componentes de guerra em situações em que os seus empregos se façam necessários, uma vez que as atitudes de ataque se configuraram. Do ponto de vista mais brando, um honeypot se propõe a enganar o invasor, pela sua observância, como dito acima, fornecendo-lhe a exata impressão de que está conseguindo seus objetivos. Em última análise, se não fossem os interesses comerciais os mais aparentemente dominantes, toda a rede mundial Internet poderia ser protegida, vigiada e poderiam ser promovidos os processos de justiça cabíveis, se houvesse a cooperação de todos os sistemas, pessoas físicas e jurídicas envolvidas, portanto, profissionais e amadores. Cabe lembrar que os sistemas computacionais deixam rastros das atividades, e permaneceriam úteis se os relativos arquivos de atividades (os logs) só pudessem ser escritos e nunca apagados (crescentes em tamanho). O intúito óbvio e pretendido pela maioria é o do favorecimento das ações de auditoria. Os sistemas computacionais ligados a entidades que pretendem esconder as suas falhas, tal como pudemos testemunhar, podem continuar a escondê-las se assim for a postura escolhida, mas os demais sistemas não precisam e não devem, ser deixados à míngua pelos motivos dos incorretos. A responsabilidade civil tem sido renegada ou, pelo menos, não colocada em prioridade máxima na Internet. É importante que sempre relembremos que a rede mundial Internet não foi construída e não é constituída, na sua maioria, por empresas comerciais. Em outras palavras, a essência da Internet não é ".com", como se quer fazer parecer, e sim, composta por elementos humanos individuais, ou sejam, os indivíduos da raça humana.

Um sistema de detecção de intrusão (IDS—Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. Os IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

Na distro as ferramentas de Ids encontradas em /usr/bin/ids/ são: snort 2.1.0 = ferramenta de IDS de rede; ACID = snort web frontend; barnyard = fast snort; hogwash = controle de acesso baseado em sigs ; bro = network IDS ; prelude = network e host IDS ; WIDZ = wireless IDS; logsnorter = log monitor ; swatch = monitora e trabalha com syslog ; sha1sum ; md5sum ; syslogd ;

Utilitários de Rede

[editar | editar código-fonte]

Network utilities abrange um conjunto de utilitários que permite uma administração simples e sem preocupações dos sistemas em várias estruturas de rede. Estes utilitários provêem uma grande variedade de opções para administração ou utilização dos recursos de rede.

Na distro, network utilities localizado em /usr/bin/net-utils/ incluí os seguintes utilitários: LinNeighboorhood = browse; argus : auditoria de rede; cheops = snmp e ferramenta de monitoração; etherape = ferramenta de visualização e monitoração de rede; iperf = performance de IP; ipsc = calcula subrede IP; iptraf = monitoração de rede; mrtg; mtr = ferramenta traceroute; ntop 2.1.0 = analisador de protocolo; samba = suporte a opensource SMB; tcptrack = analisa coneccoes existentes;

Ferramentas de Senha

[editar | editar código-fonte]

Nesta seção são apresentados aplicativos que ajudam o usuário a coletar, armazenar e gerenciar seus logins.

As ferramentas de password tools encontradas em /usr/bin/pwd-tools/ são: john 1.6.34 : cracker de senhas; allwords2 = dicionario ingles; chntpw = reseta senhas, incluindo do administrador; cisilia = outro cracker de senhas; cmospwd = procura senha local; djohn = distribuição John the Ripper; pwl9x = crack Win9x para arquivos de senhas; rcrack = outro crack ;

Qualquer máquina, conectada a uma rede de computadores, pode ser utilizada como um servidor desde que esteja servindo algum tipo serviço para a rede.

Na distro as ferramentas de servers encontradas em /usr/bin/servers são: apache ; ircd-hybrid; samba; smail; sshd; vnc; net-snmp; tftpd; xinetd;

Sniffers são programas que capturam pacotes de rede. Sua função é analisar tráfego de rede e identificar áreas potenciais de preocupação. Por exemplo, num segmento de rede executando precariamente a entrega de pacotes, onde as máquinas inexplicavelmente bloqueiam uma inicialização de rede, pode-se utilizar um sniffer para determinar a causa precisa.

Os sniffers representam um alto nível de risco, pois: podem capturar senhas, informações confidenciais e podem ser utilizados para abrir brechas na segurança de redes vizinhas ou ganhar acessos de alto nível.

Na distro as ferramentas de packets sniffers encontradas em /usr/bin/sniff/ são: aimSniff = sniffer de tráfego; driftnet = sniffer para imagens; dsniff = sniffer para texto puro, senhas; ethereal 0.10.0 = outro analisador de pacotes; ettercap 0.6.b = sniffer de rede; mailsnarf = sniffer de tráfego SMTP/POP3; msgsnarf = sniffer para tráfego de mensagens instantaneas; ngrep = sniffer de rede; tcpdump = analisador de tráfego de pacote.

Ferramentas TCP

[editar | editar código-fonte]

São programas de grande utilidade. Com uma noção do que é TCP/IP e como funcionam muitos de seus protocolos, as ferramentas são essenciais para administração de uma rede.

Na distro, as ferramentas de tcp tools encontradas em /usr/bin/tcp-tools/ são: arpfetch = MAC; arping = ping por MAC; arpspoof; arpwatch = monitoracao de enderecao de MAC; despoof = detecta pacotes via TTL; packETH; excalibur = analisador de pacote; file2cable = captura um replay packet; fragroute = ferramenta de fragmentacao de pacote; gspoof = analisador de pacote; hunt = tcp hijacker; lcrzoex = ferramente para tráfego tcp; netsed = insere strings em tráfego; tcpkill = fecha pacotes tcp; tcpreplay = captura pacotes replay.

Ferramentas utilizadas para criar e detectar uma conexão de dados bidirecional de forma segura ou criptografada.

Na distro, as ferramentas de tunelamento localizadas em /usr/bin/tunnels/ são: cryptcat = ferramenta de criptografia; httptunnel = tunelamento sobre http; icmpshell = tunelamento sobre icmp; shadyshell = tunnel sobre dados udp; stegtunnel = para cabecalhos TCP/IP; tcpstatflow = detecta tunelamentos de dados; tiny shell = criptografia de shell;

Verificação de Vulnerabilidades

[editar | editar código-fonte]

Compreende programas que analisam ou controlam a situação de um ou mais sistemas, relacionando os serviços disponíveis, os erros de permissão em arquivos, mudanças em programas, acesso a serviços, entre outros serviços. Nesta categoria, alguns programas são bastante simples e fácil de usar.

Na distro as ferramentas de vulnerabilidades encontradas em /usr/bin/vuln-test/ são: ADM tools = ferramentas de administracao smb e dns; amap 4.5 = mapea aplicacoes rodando em hosts remotos; IRPAS = ataque Internet Routing Protocol Attack; chkrootkit 0.43 : ferramenta para rootkits; clamAV = scaneia vírus e faz update de assinaturas; exodus = auditoria de aplicação web; ffp = fingerprinter para coneccoes criptografadas; firewalk = mapea um firewall; hydra = ferramenta de forca bruta; nbtscan = scan de rede; ncpquery =: scan de servidor NetWare; nessus 2.0.9 = scaneia vulnerabilidade e faz update de seus plugins, nikto = CGI scanner; nmap 3.48 = the standard in host/port enumeration; p0f = fingerprinter; proxychains = chain para servidor proxy; rpcinfo = informacoes para RPC; screamingCobra = CGI scanner; snot = replay snort rules back onto the wire. test your ids/incidence response/etc; syslog_deluxe = spoof syslog; thcrut = mapeamento de rede; vmap = mapea aplicacoes; warscan = exploit; xprobe2 = ICMP fingerprinting.

Ferramentas Wireless

[editar | editar código-fonte]

Ferramentas usadas para resolver problemas em redes wireless. São apresentados programas para medir constantemente o sinal da conexão wireless e programas que geram log.

Na distribuição, as ferramentas da categoria wireless tools encontradas em /usr/bin/wireless/ são: airsnarf = ferramenta setup de PA; airsnort = sniffer e crack 802.11b; airtraf = analise de performance de rede 802.11b; kismet 3.0.1 = para rede 802.11; kismet-log-viewer = gerenciamento de log; macchanger = altera endereco de MAC; wellenreiter = auditoria 802.11b.

Referências

  1. Rankin, Kyle (2008). Knoppix Hacks. O'Reilly.ISBN 978-0-596-51493-8

Ligações externas

[editar | editar código-fonte]