FISL 11 - Forum Internacional de Software Livre

1

Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5

Análise Forense de Redeutilizando Software Livre

Rafael Soares FerreiraDiretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação

http://www.clavis.com.br/

2


IntroduçãoAnálise Forense de Rede

• Captura e Análise de pacotes

• Reprodução da sessão capturada

• Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados)


3


Introdução

• Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques)

• Portas suspeitas

• Pacotes contendo comandos, saídas de comandos e códigos de NOP’s;

• Flood de pacotes para um determinado serviço ou máquina

Análise Forense de Rede


4


Introdução

Requisições HTTP suspeitas:

• Mesma URL em várias requisições

• URL’s contendo referências a comandos

Análise Forense de Rede


5


Ferramentas LivresTcpdump - http://www.tcpdump.org

• Ferramenta tradicional de captura de tráfego

• Aceita filtros por expressões

• Biblioteca padrão para captura de tráfego: libpcap


6


Ferramentas LivresNgrep - http://ngrep.sourceforge.net/

● Busca expressões regulares em payloads

● Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e formato Raw

● Funciona em redes Ethernet, PPP, SLIP, FDDI, Token Ring


7


Ferramentas LivresNtop - http://www.ntop.org

● Exibe dados sobre a utilização da rede

● Gera estatísticas de uso utilizando diversos critérios

● Identifica sistemas operacionais passivamente

● Exibe tráfego de comunicação interna


8


Ferramentas LivresNtop - http://www.ntop.org


9


Ferramentas LivresTcpxtract - http://tcpxtract.sourceforge.net

● Extrai arquivos contidos no tráfego de rede capturado

● Identificação através de headers e footers (“file carving”)

● Suporte aos principais tipos de arquivo


10


Ferramentas LivresWireshark / tshark - http://www.wireshark.org

● Captura em tempo real

● Suporta vários formatos e fontes de captura

● Multi-platforma

● Análise de cabeçalhos em árvore (encapsulamento)


11



● Aplicação de regras e filtros

● Funcionalidades específicas para análise de tráfego de VoIP

● Reconstrução de Sessão


12




13




14




15


Ferramentas LivresXplico - http://www.xplico.org

● Network Forensic Analysis Tool (NFAT)

● Análise de informações que trafegaram pela rede

● Extrai informações como:✔ email (POP, IMAP, SMTP)✔ Conteúdos HTTP✔ Chamadas VoIP (SIP)✔ FTP, TFTP, …


16



● Composto por 4 macro-componentes:

* Decoder Manager * IP decoder * Um conjunto de manipuladores de dados * Sistema de visualização para os dados extraídos

● Desenvolvido utilizando as linguagens C, Python, PHP e JavaScript


17



● Distribuído sob a licença GPL versão 2

● Algumas partes apresentam licenças específicas compatíveis com a GPL (descritas em seus respectivos arquivos fonte)


18



● A interface (Xplico Interface - XI) é distribuída sob 3 licenças distintas:

* Mozilla Public License (>= 1.1)

* GNU General Public License (>= 2.0)

* GNU Lesser General Public License, (>= 2.1)


19




20




21




22




23




24




25




26




27




28




29


Fim...

Muito Obrigado!

Rafael Soares [email protected] Diretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação


FISL 11 - Forum Internacional de Software Livre

Technology

Transcript of FISL 11 - Forum Internacional de Software Livre