Satan

Assunto: Satan Qui Set 02, 2010 12:20 am

O Satan é uma ferramenta de analise de segurança para auditoria de redes. Ele examina a disponibilidade de serviços do tipo rexc, login, NIS, NFS, finger entre outros. Esta analise é baseada em regras de segurança para redes de computadores, sendo assim, ele pode ser utilizado tanto para prevenir possíveis invasões quanto para coletar informações necessárias para se invadir um sistema.

Ele foi concebido por Dan Farmer, antigo funcionário da Sun Microsystems e por Wietse Venema, que trabalha na Eindhoven University of Technology.. Na realidade Satan não faz nenhuma mágica. Ele se utiliza de funçõs do Unixoude serviços de protocolo que devolvem informações sobre o sistema no qual esta instalado, isto é, tudo que o Satan faz pode ser feito manualmente, ele apenas facilita e muito este trabalho. Note que o que ele utiliza para colher informações serviços permitidos . Ele encontra um produto de varredura e como qualquer serviço de varredura deixa marcas profundas nas log's dos sistemas.

Para se detectar este tipo de marca, é necessário que se passe a coletar todos os pacotes que passam pela rede e procurar um padrão de varredura. Softwares que são bastante utilizados para se coletar estas informações (como os tcp wrappers) se baseiam em checar os serviços que estão sendo utilizados abaixo da porta 1024 e de serviços que são acessados via inetd. Isto e, tentativas em portas que não estão na tabela do inetd não são registradas. Assim torna-se mais difícil se verificar uma varredura, pois não se consegue registrar todas as ações do software que esta executando a mesma. Em testes anteriores feitos em laboratório, foi confirmado que este tipo de log não i eficiente para se detectar uma varredura.

O Satan tem três módulos de rastreamento: o light, o medium e o heavy. Nss experimentamos os trjs módulos, ss registrando os pacotes rejeitados. Neste experimentamos em um endereço que não permite nenhum acesso para podermos ter uma log completa da ações do Satan

Varredura efetuada pelo software SATAN em modulo Light

Nov 29 10:39:18 firewall kernel: R TCP 164.41.12.65 859 164.41.12.126 111

Como podemos observar, o msdulo light apenas faz uma consulta ao RCP do sistema. Este tipo de agco i extremamente difmcil, ou impossmvel dizer se esta consulta foi ou nco de uma varredura. Em compensagco, este msdulo nco fornece muitas informagues sobre o sistema.

Varredura efetuada pelo software SATAN em msdulo Medium

Nov 29 10:42:58 firewall kernel: R TCP 164.41.12.65 891 164.41.12.126 111
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1333 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1334 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1335 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1336 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1337 164.41.12.126 79
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1338 164.41.12.126 79
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1339 164.41.12.126 70
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1340 164.41.12.126 80
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1341 164.41.12.126 21
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1342 164.41.12.126 23
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1343 164.41.12.126 25
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1344 164.41.12.126 119
Nov 29 10:43:02 firewall kernel: R TCP 164.41.12.65 1345 164.41.12.126 540

No modulo medium a varredura i bem mais completa. Ele procura servigos do tipo RPC (porta 111), finger (porta 79), gopher ( porta 70), WWW (porta 80), ftp(porta 21), telnet (porta 23), sendmail (porta 25). nntp (porta 119) e uucp (porta 540).Note que se a varredura fosse feita externamente a nossa rede a antares.linf.unb.br as portas 70, 80, 21, 23, 25 nco apareceria cordo com a configuragco, mas mesmo assim nss termamos informagues suficientes para comprovar uma varredura.

Varredura efetuada pelo software SATAN em msdulo Heavy

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3299 164.41.12.126 1
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3300 164.41.12.126 2
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3301 164.41.12.126 3
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3302 164.41.12.126 4
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3303 164.41.12.126 5
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3304 164.41.12.126 6
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3305 164.41.12.126 7
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3476 164.41.12.126 178
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3477 164.41.12.126 179
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4011 164.41.12.126 713
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4012 164.41.12.126 714
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4013 164.41.12.126 715
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4014 164.41.12.126 716
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4015 164.41.12.126 717
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4016 164.41.12.126 718
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4017 164.41.12.126 719
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4018 164.41.12.126 720
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4095 164.41.12.126 797
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4096 164.41.12.126 798
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4097 164.41.12.126 799
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4098 164.41.12.126 800
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4099 164.41.12.126 801
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4100 164.41.12.126 802
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4101 164.41.12.126 803
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4231 164.41.12.126 933
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4232 164.41.12.126 934
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4233 164.41.12.126 935
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4234 164.41.12.126 936
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4315 164.41.12.126 1017
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4316 164.41.12.126 1018
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4317 164.41.12.126 1019
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4318 164.41.12.126 1020
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4319 164.41.12.126 1021
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4320 164.41.12.126 1022
Nov 21 14:43:35 firewall kernel: R TCP 164.41.12.65 4321 164.41.12.126 1023
Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1378 164.41.12.126 79
Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1379 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1380 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1381 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1382 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1383 164.41.12.126 79
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1384 164.41.12.126 70
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1385 164.41.12.126 80
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1386 164.41.12.126 21
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1387 164.41.12.126 23
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1388 164.41.12.126 25

Transfer interrupted!

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1390 164.41.12.126 540

No modulo heavy a varredura ficaria realmente comprovada. O Satan testa existjncia de varios servigos tentando encontrar servigos em portas nao convencionais, como por exemplo telnet em porta 933.

Satan

Satan

Tópicos semelhantes

Tópicos semelhantes

Total De Visitas desde 21/07/2008