Firewall é o sistema principal dispositivo d segurança da NET. Ele é na verdade um sistema, ou um grupo deles, através do qual flui o tráfego d dados entre duas redes distintas. A partir disto pode-se implementar uma segurança, q consiste num pacote q determina o q pode ou naum passar d uma rede e outra. Este sistema é, na maioria das vezes usados contra clientes mal intecionados, os crackers.
Resumidamente o firewall é o seguinte: um HD possuidor d duas placas d rede, uma ligada a rede corporativa e outra ligada à NET. E executa o pacote específico d rastreamento. Dando chance d conseguir analizar e filtrar o pacote inviado.
Mas oq é e oq naum é considerado perigoso?
Isto, kem decidirá será a política d segurança dos proprietários d firewall.
Existem 2 tipos d firewall: um q analisa a camada d rede, o pacote IP, e outro q analiza a camada de aplicação, dentro do pacote IP.
Firewall analizando a camada d rede
Estes se limitam ao nível d IP. Decidindo o destino dos pacotes (aceito ou naum), tendo como base: remetente, porta IP utilizada e endereço d destinatário.
Qualquer roteador pode ser configurado pra firewall, mas será um firewall simples. Isto fará com q vc ele fike protegido contra lammers comuns, mas pode ser vítima d atakes clássicos e comuns. Como por exemplo: o IP Spoofer.
Em mákinas bem configuradas o firewall concede acesso apenas a computadores considerados d confiança (CPUs conhecidos). Para introduzir-se numa makina bem configurada é nescessário fazer com q ela o considere confiável. Isto s chama spoonfing. Q consiste em mandar pacotes com o endereço legitimos d uma makina d rede interna. A vítima crerá q o atacante é d confiança e responderá enviando pacotes para o endereço do remetente.
No entanto o cracker deve tomar precauções: a 1º é certificar-se q a máquina legítima naum responda aos pacotes. Isto eh feito garantindo-se q a máquina esteja off-line. A segunda delas é garantir q akeles pacotes sejam enviados para a NET. Já q a mákina legítima encontra-se dentro da rede interna. Para isto é usado o "source routing". Q consiste numa técinica criada pra testes e opturação. Ela permite q a máquina q inicia a comunicação especifike qual a rota d todos os pacotes d uma certa conexão. Isto faz com q os pacotes sejam espelidos da rede pra a internet
Firewalls sofisticados naum permitem a uso do spoofing e do souce-routing, pois eles, além d rotear o pacotes para seus destinos tb mantém informações sobre o estado das conexões e sobre o conteúdo do pacote o q permite saber q naum pode-se enviar um pacote com indereço pertencente à rede interna à internet. O firewall irá caracterizar isto como um atake e tomará a devidas providências.
Firewalls sofisticados, ou naum, são transparentes e rápidos pois roteiam tráfegos diretos mas é exatamente isto q impede de analizar o conteúdo efetivo do pacote e tb exige q as mákinas na rede interna possuam um endereço IP válido
Firewall analizando a camada de aplicação
Estes normalmente são CPUs d rede d uso geral q rodam programas chamados: "proxy serves" . Este tipo d firewall naum permite comunicações diretas entre duas redes, pois rekerem o estabelecimento d duas conexões. Uma delas do remetente proxy e a Segunda entre o remetente e o destinatário.
Uma característica q vale averiguar eh a d q todo pacote antes d ser ecoado e analizado pelo proxy server. Este irá decidir s o pacote deve ou naum ser descartado. Vale saber q dev a estas caracteríscas o firewall d aplicação oferece uma segurança maior do o firewall d rede, pois consegue perceber perigo em um pacote q o d rede naum conseguiria.
Dois exemplos d coisas q este tipo d defesa pode filtrar são:
O 1º é DEBUG do SMTP q é usado para pedir a um servidor d correio q forneça algumas informações d controle. O q eh considerado risco.
Um segundo exemplo são os Proxys FTP, q vedam o acesso d usuários externos, mas mesmo assim, permite q os funcionários copiem arkivos da NET para a rede.
Cada um dessas vantagens dependem do funcionamento do protocólo d defesa, sendo q, estes, naum poderiam ser colocados nos firewall de rede, já q naum são capazes d analizar o conteúdo do pacote IP
Firewall d rede são mais transparente do q os d aplicaçãoo, já q os d aplicação exige a existência de um proxy, além d proibir a comunicação direta entre o servidos e o cliente. É nescessário q o programa cliente saiba q deve estabelecer com o proxy e determinar ações. Então basata configurar o browser corretamente. Muitas vezes os clientes naum são sofisticados o suficiente, e nescessitam d conexões diretas com o servidor, neste caso utiliza o seguinte artifício: o usuário se loga no proxy e este; em vez de solicitar nome e senha (como seria de esperar), solicita o nome do servidor com o qual se deseja a conexão; a partir daí, tudo funciona normalmente.
Vantagens do firewall d aplicação:
- permiteuma análize muito mais próxima entre duas redes.
- o fato d q DNS ser um proxy server permite identificar o nome das mákinas internas e preserve-os, e q um mesmo nome pode identificar duas makinas da origem d kem a consulta.
- Além disso o firewall d aplicação protege o endereço original das mákinas internas, já q basta saber o endereço das portas esternas do firewall. Isto trás vários benefícios, o simples fato da pessoa naum saber o endereço real já da mais segurança. Além disto é q permite o uso d faixas reservadas d endereço q nuam podem ser utilizada na NET, isto faz com q seja impossível algum cliente enviar pacotes diretamente às máquinas internas. Além disto, o uso destes endereços possibilita d + endereços do q os concedidos pelos provedores.
Bem, seria difícil dizer qual eh o melhhor tipo d firewall, esta discu;cão ainda permanece, mas uma solução entendida pelos melhoeres sistemas d firewall é adotar os dois tipos. Sendo q os pacotes passam pelos dois níveis d firewall
Empresas gastam fortunas em firewalls errados (ou seja, com uma pilítica d segurança incoerente). Mas a grande solução q vejo é a seguinte: s um computador possui informações muito confidenciais ele naum precisa do firewall mais caro q o dinheiro pode comprar, mas sim, deve naum s conectar à NET. Desde q naum seja paranóica a ponto d naum deixar q as pessoas trabalhem.
SCANNING COM O NMAP
Você deseja obter informações sobre algum computador ou servidor? A ferramenta de varredura/scan Nmap é a mais acentuada para tal uso, você pode obter desde serviços rodando nas portas do host-alvo ou o sistema do alvo para iniciar uma invasão ou um teste de penetração.
Veremos algumas noções básicas desta ótima ferramenta a seguir, é muito importante que você leia o artigo antes de efetuar o download e ir usando conforme lê, pois isso poderá causar problemas na aprendizagem, então o link de download disponibilizo ao fim do artigo.
Iniciando
O Nmap como você já deve ter conhecido na introdução é uma ferramenta para Linux e Windows, que tem como objetivo principal varrer um host (computador, rede de computadores ou só um servidor) que esteja online conectado à internet ou ao ponto local de onde você está, em sua rede.
O comando básico do Nmap para se iniciar um scan é simples. Basta executar a ferramenta caso for no Windows e inserir os comandos no campo Targets (eu acho, pois não tenho ele em meu Windows, a ferramenta costuma apresentar defeitos de desempenho nele, eu recomendo usar o Linux para executa-la com excelência). Agora caso for no Linux, basta abrir o terminal e entrar com:
nmap target
Em que target significa a especificação de um host alvo, ou seja o IP do alvo. O programa automaticamente com este comando realiza o scan de mais de 1660 portas TCP e, ainda, é capaz de especificar o estado de cada uma delas nas categorias aberta, fechada, filtrada, não-filtrada, aberta-filtrada e fechada-filtrada. Este foi o comando básico do Nmap para um scan cru de um alvo, ou seja, sem complementos de scanning então poderá obter poucos dados, ou muitos dados inúteis, ou não obter nada.
Estados de Portas
* Porta aberta (open): apesar de uma porta aberta ser uma brecha em potencial para uma invasão fácil, fechá-la significa apenas desativar a comunicação do programa utilizado no momento. Isso significa que portas abertas não são necessariamente ameaças diretas, mas devem estar condizentes com a atividade do IP no momento. Evidentemente, se portas abertas não são ou não devem ser utilizadas, preferencialmente devem ser desativadas. Na maioria dos sistemas operacionais, tanto domésticos como em redes corporativas, vemos, por exemplo, o serviço de telnet ativado e, na maioria das vezes, sem utilidade.
* Porta fechada (closed): ao contrário do que se pode imaginar, uma porta fechada não é apenas a descrição de que nenhum programa está diretamente recebendo/enviando informações e tampouco constitui-se em um elemento protegido. Portas fechadas naturalmente demonstram a ocorrência de atividade de um host em determinado endereço de IP, e devem ser monitoradas no momento de abertura. A configuração adequada é aplicar ao Firewall designando-se que as portas sejam "filtradas".
* Porta filtrada (filtered): uma porta filtrada deveria sugerir em primeira instância, a condição de uma porta devidamente configurada e protegida por um firewall, ou qualquer outra ferramenta específica de administração/defesa, no entanto a atividade de uma porta filtrada não apresenta garantia alguma de eficácia de segurança. Usando uma analogia básica, podemos pensar sobre uma porta filtrada, como uma porta normal trancada, mais com a impossibilidade de definir se a porta está trancada com um ferrolho fixado com parafusos velhos e enferrujados, ou com um cadeado forjado com aço especial blindado, para tentar a invasão nestas portas é necessário o uso do pentest.
* Porta sem filtro (unfiltered): designação dada a uma porta acessível, porém sem a possibilidade de definição quando a estar aberta ou fechada. Outros tipos de scan, usados principalmente para a varredura de configuração do firewall interno, são capazes de determinar o estado aberto/fechado de portas sem filtro, mas isso fica para outro artigo.
* Porta aberta/filtrada (open/filtered): se portas abertas não tornam resposta alguma são atribuídas pelo Nmap como "abertas/filtradas"; scans UDP, IP, FIN, Null e Xmas são recomendados.
* Porta fechada/filtrada (closed/filtered): é dado quando o Nmap não consegue determinar quando a porta está fechada ou filtrada; usada apenas em scans de IPID.
Comandos complementares
A seguir, segue uma lista de comandos para ser aplicados em seu scan contra um host. Os comandos geralmente têm sua sixtaxe correta, basta parar de ser preguiçoso caso o nmap não inicie o scan e procurar a sintaxe correta para iniciar. Exemplo de sintaxe correta: nmap -sS -p 22,80 129.0.0.1 (Comandos principais na frente, subcomando complementar depois (podendo ser vários dos ambos) e endereço IP do host alvo por último).
Veremos algumas noções básicas desta ótima ferramenta a seguir, é muito importante que você leia o artigo antes de efetuar o download e ir usando conforme lê, pois isso poderá causar problemas na aprendizagem, então o link de download disponibilizo ao fim do artigo.
Iniciando
O Nmap como você já deve ter conhecido na introdução é uma ferramenta para Linux e Windows, que tem como objetivo principal varrer um host (computador, rede de computadores ou só um servidor) que esteja online conectado à internet ou ao ponto local de onde você está, em sua rede.
O comando básico do Nmap para se iniciar um scan é simples. Basta executar a ferramenta caso for no Windows e inserir os comandos no campo Targets (eu acho, pois não tenho ele em meu Windows, a ferramenta costuma apresentar defeitos de desempenho nele, eu recomendo usar o Linux para executa-la com excelência). Agora caso for no Linux, basta abrir o terminal e entrar com:
nmap target
Em que target significa a especificação de um host alvo, ou seja o IP do alvo. O programa automaticamente com este comando realiza o scan de mais de 1660 portas TCP e, ainda, é capaz de especificar o estado de cada uma delas nas categorias aberta, fechada, filtrada, não-filtrada, aberta-filtrada e fechada-filtrada. Este foi o comando básico do Nmap para um scan cru de um alvo, ou seja, sem complementos de scanning então poderá obter poucos dados, ou muitos dados inúteis, ou não obter nada.
Estados de Portas
* Porta aberta (open): apesar de uma porta aberta ser uma brecha em potencial para uma invasão fácil, fechá-la significa apenas desativar a comunicação do programa utilizado no momento. Isso significa que portas abertas não são necessariamente ameaças diretas, mas devem estar condizentes com a atividade do IP no momento. Evidentemente, se portas abertas não são ou não devem ser utilizadas, preferencialmente devem ser desativadas. Na maioria dos sistemas operacionais, tanto domésticos como em redes corporativas, vemos, por exemplo, o serviço de telnet ativado e, na maioria das vezes, sem utilidade.
* Porta fechada (closed): ao contrário do que se pode imaginar, uma porta fechada não é apenas a descrição de que nenhum programa está diretamente recebendo/enviando informações e tampouco constitui-se em um elemento protegido. Portas fechadas naturalmente demonstram a ocorrência de atividade de um host em determinado endereço de IP, e devem ser monitoradas no momento de abertura. A configuração adequada é aplicar ao Firewall designando-se que as portas sejam "filtradas".
* Porta filtrada (filtered): uma porta filtrada deveria sugerir em primeira instância, a condição de uma porta devidamente configurada e protegida por um firewall, ou qualquer outra ferramenta específica de administração/defesa, no entanto a atividade de uma porta filtrada não apresenta garantia alguma de eficácia de segurança. Usando uma analogia básica, podemos pensar sobre uma porta filtrada, como uma porta normal trancada, mais com a impossibilidade de definir se a porta está trancada com um ferrolho fixado com parafusos velhos e enferrujados, ou com um cadeado forjado com aço especial blindado, para tentar a invasão nestas portas é necessário o uso do pentest.
* Porta sem filtro (unfiltered): designação dada a uma porta acessível, porém sem a possibilidade de definição quando a estar aberta ou fechada. Outros tipos de scan, usados principalmente para a varredura de configuração do firewall interno, são capazes de determinar o estado aberto/fechado de portas sem filtro, mas isso fica para outro artigo.
* Porta aberta/filtrada (open/filtered): se portas abertas não tornam resposta alguma são atribuídas pelo Nmap como "abertas/filtradas"; scans UDP, IP, FIN, Null e Xmas são recomendados.
* Porta fechada/filtrada (closed/filtered): é dado quando o Nmap não consegue determinar quando a porta está fechada ou filtrada; usada apenas em scans de IPID.
Comandos complementares
A seguir, segue uma lista de comandos para ser aplicados em seu scan contra um host. Os comandos geralmente têm sua sixtaxe correta, basta parar de ser preguiçoso caso o nmap não inicie o scan e procurar a sintaxe correta para iniciar. Exemplo de sintaxe correta: nmap -sS -p 22,80 129.0.0.1 (Comandos principais na frente, subcomando complementar depois (podendo ser vários dos ambos) e endereço IP do host alvo por último).
Scan TCP SYN (-sS)
Técnica q não abre uma conexão TCP completa, é enviado um pacote SYN como se ele fosse uma conexão real e aguarda uma resposta, caso um pacote SYN-ACK seja recebido, a porta esta aberta, enquanto um como resposta indica q a porta esta fechada, a vantagem dessa abordagem é q poucos vão detectar esse scan de portas.
Scan TCP Connect (-sT)
É uma técnica mais básica de TCP scan, é utilizada a chamada de sistema (System Call Connect), é um dos scan mais rapidos só que é facil de ser detectado.
Scan UDP (-sU)
Esse método é utilizado pra determinar qual porta udp esta aberta em um host, a técnica envia um pacote UDP de 0 bytes pra cada porta do host, se for recebido uma mensagem ICMP “port unreachable” então ta fechada senão a porta pode estar aberta.
Scans TCP Null, FIN e Xmas (-sF e -sX)
Procura determinar portas abertas e fechadas, detecta falhas no parâmetro de requisição RFC do protocolo TCP.
Scan TCP ACK (-sA)
Tipo de scan orientado principalmente para o mapeamento de conjuntos de regras de firewall, para determinar se tais conjuntos encontram-se orientados à conexão e à especificação das portas filtradas.
Scan TCP Window (-sW)
O comportamento da varredura TCP Window assemelha-se ao TCP ACK, com o diferencial de tentar especificar as portas abertas e fechadas.
Scan TCP Mainmon (-sM)
Apresenta mecanismo semelhante ao scan dos tipos Null, FIN e Xmas, com diferença pouco significativa nas sondagens FIN/ACK.
Scan de protocolo (-sO)
Permite a determinação dos protocolos suportados pelo host-alvo, não sendo considerado um scan de portas em si, é posível selecionar o número de protocolos varridos com o comando -p. Pode determinar o sistema operacional da máquina entre outras funções.
Finalizando
Por conclusão, você deve ter tido uma ótima leitura e agora deve estar tudo armazenado em seu subconsciente. Agora lhe resta baixar a ferramenta tanto para Windows como para Linux no site Download the Free Nmap Security Scanner for Linux/MAC/UNIX or Windows e testar para ver se você já sabe fazer alguns tipos de scan.
Se deseja saber mais sobre o software, não deixe de pedir ajuda ou visitar nosso fórum, existem várias coisas relacionadas ao Nmap interessantes de serem lidas e usadas!
Creditos securyti hacker
Marcadores: SCANNING COM O NMAP
Dicas para blog,como criar um blog,como ganhar dinheiro com blog,como monetizar blog.
Cursos de digitação (Digimaster )
DIGIMASTER
Você mexe no computador à anos e mesmoassim não consegue usar mais do que dois dedos de cada mão para digitar?
Está fazendo o curso agora e ainda ta só "catando milho"?
Eu coloquei aqui os dois melhores e mais usados programas de digitação do mercado para que você possa ficar ligeiro em digitação.
O Digimaster e o HJ irão te ajudar a utilizar os dedos corretos e colocar as mãos na posição certa para evitar problemas como tendinite ou LER (Lesões por esforços repetitivos).
Marcadores: CURSOS
Dicas para blog,como criar um blog,como ganhar dinheiro com blog,como monetizar blog.
ENTENDENDO FIREWALL
Marcadores: ENTENDENDO FIREWALL
Dicas para blog,como criar um blog,como ganhar dinheiro com blog,como monetizar blog.
Assinar:
Postagens (Atom)