212.4 Tarefas de Segurança
Comandos para Scan e Testes de Portas
Boa parte desse tópico já foi visto no tópico 205.2, mas vou deixar links para assuntos específicos.
TELNET
O Telnet é um protocolo de rede utilizado para permitir que um computador acesse outro computador através da rede e interaja com ele como se estivesse conectado diretamente, mesmo que estejam em locais físicos diferentes.
O Telnet é um protocolo de texto simples, onde as informações são transmitidas em texto sem criptografia, o que significa que qualquer pessoa com acesso à rede pode interceptar e ler as informações sendo transmitidas. Por isso, o Telnet é considerado um protocolo inseguro.
No entanto, devido à sua falta de segurança, o Telnet foi amplamente substituído pelo SSH (Secure Shell), que usa criptografia para proteger as informações transmitidas e tornar a conexão mais segura.
Mas ele ainda é usado para testar portas de servidores remotos e até fazer um levantamento leve de versão de aplicação:
$ telnet 192.168.121.10 22
Trying 192.168.121.10...
Connected to 192.168.121.10.
Escape character is '^]'.
SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.5
Por exemplo, no caso acima é possível saber a versão do SSH e qual a distribuição está rodando no servidor.
Sistemas de Detecção de Intrusão
Para detectar intrusão no sistema é usado um IDS/IPS. IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são sistemas de segurança que monitoram e analisam o tráfego de rede em busca de possíveis atividades maliciosas ou anomalias.
O IDS é um sistema que detecta possíveis ameaças e alerta os administradores sobre possíveis ataques. Ele é capaz de detectar ataques como varreduras de portas, tentativas de login com credenciais inválidas e outras atividades que possam indicar uma tentativa de invasão. O IDS pode ser baseado em regras pré-definidas, análise de comportamento, assinaturas de ataques conhecidos, entre outros métodos.
Já o IPS é um sistema que não apenas detecta, mas também previne e bloqueia possíveis ameaças. Ele pode agir automaticamente, bloqueando o tráfego malicioso ou restringindo o acesso a recursos críticos do sistema. O IPS é capaz de tomar medidas como bloqueio de portas, filtragem de pacotes, encerramento de conexões, entre outros.
Como exemplo de IDS temos o Snort e para IPS temos o Fail2Ban.
SNORT
O Snort é um sistema de detecção de intrusão de rede (IDS) de código aberto amplamente utilizado. Ele monitora o tráfego de rede em tempo real e detecta possíveis ataques ou comportamentos maliciosos com base em regras pré-definidas.
O Snort pode ser usado em uma variedade de situações, desde pequenas redes domésticas até grandes redes corporativas. Ele é executado em um servidor dedicado e pode ser configurado para monitorar o tráfego de toda a rede ou de partes específicas dela. Quando um alerta é gerado, o Snort pode notificar o administrador da rede ou tomar medidas automáticas para bloquear o tráfego malicioso.
Uma das vantagens do Snort é sua capacidade de personalização. Os administradores de rede podem criar suas próprias regras para detectar ameaças específicas, ou podem baixar e instalar regras criadas pela comunidade de usuários do Snort.
O Snort também possui um modo de prevenção de intrusão de rede (IPS), que pode bloquear o tráfego malicioso em tempo real. No entanto, o modo IPS requer configuração cuidadosa para evitar falsos positivos ou negativos.
Para instalar o snort podemos fazer:
$ sudo apt install -y snort
Os arquivos de configuração ficam em
/etc/snort.
Fail2Ban
O Fail2Ban é uma ferramenta de segurança que visa prevenir ataques de força bruta e outras formas de abuso de serviços de rede. Ele faz isso monitorando logs de vários serviços, como SSH, Apache, Nginx, e outros, em busca de tentativas de login mal sucedidas ou outras atividades suspeitas.
Quando o Fail2Ban detecta um número especificado de tentativas falhas, ele adiciona uma regra de firewall para bloquear o endereço IP do qual as tentativas foram feitas. Esse bloqueio é temporário e pode ser configurado para durar um determinado período de tempo.
O Fail2Ban é altamente configurável e permite que os administradores personalizem as regras para cada serviço que desejam monitorar. Além disso, ele também fornece relatórios de atividade que permitem aos administradores ver quais endereços IP foram bloqueados e por que motivo.
O Fail2Ban é uma ferramenta útil para proteger sistemas contra ataques de força bruta e outras formas de abuso de serviços de rede. No entanto, é importante lembrar que o Fail2Ban não é uma solução completa de segurança e deve ser usado em conjunto com outras medidas de segurança, como senhas fortes e atualizações regulares do sistema.
Para instalar o Fail2Ban podemos fazer:
$ sudo apt install -y fail2ban
Os arquivos de configuração ficam em /etc/fail2ban.
fail2ban.conf
Arquivo de configurações gerais do processo do Fail2Ban.jail.conf
Mantém as regras de bloqueio para cada aplicações.
O Fail2Ban bloqueia baseado em Iptables.
OpenVAS
OpenVAS (Open Vulnerability Assessment System) é uma estrutura de gerenciamento de vulnerabilidades de código aberto que permite a detecção, avaliação e gerenciamento de vulnerabilidades de segurança em sistemas e redes.
O OpenVAS consiste em um servidor de gerenciamento de vulnerabilidades, que é responsável pela coordenação dos testes de vulnerabilidade em vários clientes e gerencia o banco de dados de vulnerabilidades. Ele também inclui um conjunto de clientes que são usados para executar varreduras de vulnerabilidade em alvos designados e apresentar os resultados da varredura para o servidor.
O OpenVAS usa uma arquitetura de plug-in, o que significa que os usuários podem estender a funcionalidade do sistema escrevendo seus próprios plugins ou baixando e instalando plugins de uma biblioteca centralizada.
O OpenVAS é voltado para Pentest, possui a arquitetura Cliente/Servidor, onde o Servidor armazena um conjunto de testes de vulnerabilidades (NVT - Network Vulnerability Tests) e executa esses testes nos clientes para detectar falhas.
Boletins de Segurança
São informações sobre vulnerabilidade de um sistema, sempre que sair uma nova vulnerabilidade esses sistemas tem como intuito informar os Administradores.