Seguran ca em Redes Prof. Rafael R. Obelheiro Semestre: 2009.

Laborat orio 1 Wireshark e Nmap 1 Objetivo

O objetivo deste laborat orio e demonstrar o funcionamento de ferramentas usadas em seguran ca de redes para realizar varreduras em sistemas e an alise de tr afego.

Descri c ao do Experimento
O experimento ser a realizado em tr es fases principais: I. Levantamento de informa c oes sobre o ambiente local; II. Fundamentos de captura e an alise de tr afego com Wireshark;

III. Realiza c ao de varreduras de rede usando Nmap.

Levantamento de informa co es locais

Inicialmente, obtenha os par ametros de congura c ao de rede do seu computador. 1. Abra uma janela de terminal (clique no segundo cone na parte inferior da tela). 2. Execute o comando ifconfig para obter as informa c oes de congura c ao da interface de rede eth0. 3. Execute o comando netstat -rn para exibir a tabela de roteamento do host, e descubra o endere co IP do gateway padr ao (correspondente ao destino 0.0.0.0). Com base nas informa c oes obtidas com os comandos acima, responda: I.a) Qual o endere co IP da interface de rede eth0? I.b) Qual o endere co de broadcast da rede local? I.c) Qual a m ascara de sub-rede usada nessa rede? I.d) Qual o endere co IP do gateway padr ao da rede?

II

An alise de tr afego com Wireshark

Para esta fase, ser a necess ario abrir uma outra janela de terminal, ou uma outra aba na janela j a aberta (clique com o bot ao direito, New Session Shell). Siga ent ao os seguintes passos: 1. Inicie o Wireshark (digite wireshark & na linha de comando). Uma vez iniciado o programa, fa ca o seguinte: i. Liste as interfaces dispon veis para captura (clique no primeiro cone abaixo do menu ou em Capture Interfaces. . . ); ii. Na linha correspondente ` a interface Any, clique em Options; iii. No campo Capture Filter, digite port 4444; iv. Clique em Start. Ignore o aviso de que a interface Any n ao funciona em modo prom scuo. 2. No terminal 1, execute o comando nc -l -p 4444. Esse comando abre um socket TCP na porta 4444 e exibe o que for recebido por essa porta na sa da padr ao (neste caso, o pr oprio terminal). 1

3. No terminal 2, execute o comando echo teste | nc localhost 4444. Verique o que acontece no outro terminal. Interrompa as execu c oes nos dois terminais com Ctrl-C. 4. No terminal 2, execute o comando echo teste 2 | nc localhost 4444. Verique o que acontece no outro terminal. 5. No terminal 2, execute o comando echo teste 3 | nc -u localhost 4444. Verique o que acontece no outro terminal. Interrompa as execu c oes nos dois terminais com Ctrl-C. 6. No terminal 1, execute o comando nc -l -u -p 4444. Esse comando faz o mesmo que o anterior, mas usando um socket UDP em vez de TCP. 7. No terminal 2, execute o comando echo teste 4 | nc -u localhost 4444. Verique o que acontece no outro terminal. Interrompa as execu c oes nos dois terminais com Ctrl-C. 8. Volte ao Wireshark e interrompa a captura de pacotes (clique no quarto cone abaixo do menu ou em Capture Stop). 9. Salve o tr afego capturado (File Save). Com base no comportamento observado e no tr afego capturado pelo Wireshark, responda ` as seguintes perguntas: II.a) Quais as mensagens de teste que foram exibidas com sucesso no terminal 1? II.b) Quantos pacotes foram capturados? II.c) Quantos bytes foram capturados? II.d) Qual o tempo total de captura? II.e) Os comandos digitados no terminal 2 enviam (ou tentam enviar) tr afego para o servidor no terminal. Determine os n umeros de sequ encia dos pacotes correspondentes a cada uma das mensagens. (Considere aqui a numera c ao da primeira coluna na janela superior, n ao o n umero de sequ encia do TCP.) II.f) O que acontece, no tr afego capturado, quando uma transmiss ao utilizando TCP falha? II.g) O que acontece, no tr afego capturado, quando uma transmiss ao utilizando UDP falha? (Ignore eventuais mensagens de checksum UDP incorreto.)

III

Varreduras de rede com Nmap

A fase III consiste em uma s erie de varreduras de rede usando Nmap. Para cada uma das varreduras especicadas abaixo, voc e deve realizar uma nova captura de pacotes com o Wireshark para posterior an alise. Inicie a captura antes da varredura come car e interrompa a captura ao nal da varredura, tomando o cuidado de salvar os pacotes capturados. IMPORTANTE: para a primeira varredura, n ao se esque ca de limpar o Capture Filter denido em II.1. III.1 Varredura de m aquinas na rede local

1. Execute o Zenmap, um front-end gr aco para o Nmap (digite zenmap & no terminal). 2. Clique em Command Wizard. Deixe a op c ao Novice marcada e clique em Forward. 3. Na tela seguinte, clique em Command. Em Target, especique a faixa de endere cos IP da rede local (primeiro IP- ultimo IP). Clique em Forward. 4. Na tela seguinte, em Non-TCP scans, selecione Ping scanning.

5. Clique em Forward quatro vezes, at e a tela de Other options. Marque a op c ao Extra options dened by user e digite -n no campo ao lado. Clique em Forward e depois em Apply. Ap os a varredura ser conclu da, responda ` as perguntas abaixo. N ao se esque ca de parar a captura do Wireshark e de salvar os pacotes capturados. III.1a) Qual o comando usado para realizar a varredura? III.1b) De acordo com a sa da do Nmap, quais n os est ao ativos na rede? III.1c) Quantos pacotes e bytes foram capturados durante a varredura? III.1d) Inspecionando o tr afego capturado, como voc e explica o princ pio de funcionamento dessa varredura? (Dica: veja o que acontece quando uma m aquina est a ativa e quando ela n ao est a ativa.) III.2 Varredura de UDP

Antes de iniciar as pr oximas varreduras, ative alguns servi cos de rede na sua m aquina. Para isso, clique no menu do KDE (primeiro cone na parte inferior da tela), Services HTTPD Start HTTPD. Ative tamb em HTTPD CGI, SSHD e TFTPD (todos est ao sob o menu Services). A varredura de UDP consiste nos seguintes passos: 1. No Zenmap, clique em New Scan (primeiro cone abaixo do menu). 2. Clique em Command Wizard. Deixe a op c ao Novice marcada e clique em Forward. 3. Na tela seguinte, clique em Command. Em Target, especique o endere co IP da sua m aquina. Clique em Forward. 4. Na tela seguinte, em Non-TCP scans, selecione UDP scanning. 5. Clique em Forward quatro vezes, at e a tela de Other options. Marque a op c ao Extra options dened by user e digite -n no campo ao lado. Clique em Forward e depois em Apply. Ap os a varredura ser conclu da, responda ` as perguntas abaixo. N ao se esque ca de parar a captura do Wireshark e de salvar os pacotes capturados. III.2a) Qual o comando usado para realizar a varredura? III.2b) De acordo com a sa da do Nmap, quais servi cos UDP est ao ativos na sua m aquina? III.2c) Quantos pacotes e bytes foram capturados durante a varredura? III.2d) Inspecionando o tr afego capturado, como voc e explica o princ pio de funcionamento dessa varredura? (Dica: veja o que acontece quando um servi co est a ativo e quando ele n ao est a ativo.) III.3 Varredura de TCP SYN

Antes de iniciar as pr oximas varreduras, digite em uma janela de terminal o seguinte comando: tail -f /var/log/messages Esse comando permite que voc e monitore algumas mensagens de log geradas pelo sistema. A varredura de TCP SYN consiste nos seguintes passos: 1. No Zenmap, clique em New Scan (primeiro cone abaixo do menu). 2. Clique em Command Wizard. Deixe a op c ao Novice marcada e clique em Forward.

3. Na tela seguinte, clique em Command. Em Target, especique o endere co IP da sua m aquina. Clique em Forward. 4. Na tela seguinte, em TCP scan, selecione TCP SYN scan. 5. Clique em Forward quatro vezes, at e a tela de Other options. Marque a op c ao Extra options dened by user e digite -n no campo ao lado. Clique em Forward e depois em Apply. Ap os a varredura ser conclu da, responda ` as perguntas abaixo. N ao se esque ca de parar a captura do Wireshark e de salvar os pacotes capturados. III.3a) Qual o comando usado para realizar a varredura? III.3b) De acordo com a sa da do Nmap, quais servi cos TCP est ao ativos na sua m aquina? III.3c) Quantas portas foram varridas? III.3d) Quantos pacotes e bytes foram capturados durante a varredura? III.3e) Inspecionando o tr afego capturado, como voc e explica o princ pio de funcionamento dessa varredura? (Dica: veja o que acontece quando um servi co est a ativo e quando ele n ao est a ativo.) III.3f) Algum dos servi cos ativos gerou um log durante a varredura? (Dica: observe se houve mudan ca em /var/log/messages.) III.4 Varredura de TCP connect

A varredura de TCP connect consiste nos seguintes passos: 1. No Zenmap, clique em New Scan (primeiro cone abaixo do menu). 2. Clique em Command Wizard. Deixe a op c ao Novice marcada e clique em Forward. 3. Na tela seguinte, clique em Command. Em Target, especique o endere co IP da sua m aquina. Clique em Forward. 4. Na tela seguinte, em TCP scan, selecione TCP connect scan. Marque ainda as op c oes Services version detection e Operating system detection. 5. Clique em Forward quatro vezes, at e a tela de Other options. Marque a op c ao Extra options dened by user e digite -n no campo ao lado. Clique em Forward e depois em Apply. Ap os a varredura ser conclu da, responda ` as perguntas abaixo. N ao se esque ca de parar a captura do Wireshark e de salvar os pacotes capturados. III.4a) Qual o comando usado para realizar a varredura? III.4b) De acordo com a sa da do Nmap, quais servi cos TCP est ao ativos na sua m aquina? III.4c) Quantas portas foram varridas? III.4d) Quantos pacotes e bytes foram capturados durante a varredura? III.4e) Inspecionando o tr afego capturado, como voc e explica o princ pio de funcionamento dessa varredura? (Dica: veja o que acontece quando um servi co est a ativo e quando ele n ao est a ativo.) III.4f) Algum dos servi cos ativos gerou um log durante a varredura? (Dica: observe se houve mudan ca em /var/log/messages.) Houve diferen ca em rela c ao ` a varredura anterior? Como voc e explica isso? III.4g) A detec c ao de vers ao do SO e acurada? (Dica: voc e pode obter a vers ao do kernel usando o comando uname -a.) 4

III.5

Varredura completa de TCP SYN

Para esta varredura, repita os passos da varredura III.3, com as seguintes modica c oes: 1. Ap os selecionar TCP SYN scan, clique em Forward duas vezes, at e a tela de Target options. Marque a op c ao Ports to scan e digite 1-65535 no campo ao lado. 2. Clique em Forward duas vezes, at e a tela de Other options. Marque a op c ao Extra options dened by user e digite -n no campo ao lado. Clique em Forward e depois em Apply. Ap os a varredura ser conclu da, responda ` as perguntas abaixo. N ao se esque ca de parar a captura do Wireshark. III.5a) Qual o comando usado para realizar a varredura? III.5b) De acordo com a sa da do Nmap, quais servi cos TCP est ao ativos na sua m aquina? III.5c) Quantas portas foram varridas? III.5d) Quantos pacotes e bytes foram capturados durante a varredura? III.5e) Quanto tempo durou a varredura? III.6 Localiza c ao de um servi co espec co

Existe na rede local uma m aquina com o servi co SMTP ativo. Utilizando uma varredura com Nmap, identique esta m aquina, respondendo ` as quest oes abaixo: III.6a) Qual o comando usado para realizar a varredura? III.6b) Qual o endere co IP da m aquina em quest ao? III.6c) Quais as informa c oes dispon veis sobre a vers ao do servi co SMTP? Dica: voc e precisar a de uma varredura de TCP connect para obter informa c oes de vers ao.

Relat orio
O seu relat orio dever a conter as respostas ` as perguntas da fase I (itens I.a a I.d), da fase II (itens II.a a II.g) e da fase III. Inclua uma c opia da sa da do Nmap para cada varredura realizada na fase III. A documenta c ao do Nmap pode ser de grande utilidade. Para consult a-la, digite o comando man nmap em um terminal. Uma tradu c ao em portugu es est a dispon vel em http://nmap.org/ man/pt-br/. Para os itens III.3f e III.4f, inclua uma c opia dos logs produzidos, quando houver. Guarde uma c opia dos arquivos com pacotes capturados durante os experimentos deste laborat orio. Eles podem ser necess arios mais tarde. N ao e necess ario guardar c opia do arquivo produzido na varredura III.5.