Samurai Ninja - O Satan

« O Satan

O Satan e' uma ferramenta de analise de seguranga para auditoria de redes. Eleexamina a disponibilidade de
servigos do tipo rexc, login, NIS, NFS, finger entre outros. Esta analise e baseada em regras de seguranga para
redes de computadores, sendo assim, ele pode ser utilizado tanto para previnir possiveis invasoes quanto para
coletar informagues necessarias para se invadir um sistema.

Ele foi concebido por Dan Farmer, antigo funcionario da Sun Microsystems e por Wietse Venema, que trabalha na
Eindhoven University of Technology.. Na realidado Satan nco faz nenhuma magica. Ele se utiliza de fungues do
Unixoude servigos de protocolo que devolvem informagues sobre o sistema no qual estainstalado, isto i, tudo que o
Satan faz pode ser feito manualmente, ele apenas facilita e muito este trabalho.Note que o que ele utiliza para
colher informaguessco servigos permitidos .Ele entco i um produto de varredura e como qualquer servigo de
varredura deixa marcas profundas nas log's dos sistemas.

Para se detectar este tipo de marca, i necessario que se passe a coletar todos os pacotes que passam pela rede e
procurar um padrco de varredura. Softwares que sao bastante utilizados para se coletar estas informagues (como
os tcp wrappers) se baseiam em checar os servigos que estco sendo utilizados abaixo da porta 1024 e de servigos
que sco acessados via inetd.

Isto e, tentativas em portas que nco estco na tabela do inetd nao sao registradas. Assim torna-se mais difmcil se
verificar uma varredura, pois nao se consegue registrar todas as acoes do software que esta executando a mesma.
Emtestes anteriores feitos em laboratsrio, foi confirmado que este tipo de log nco i eficiente para se detectar uma
varredura.

O Satan tem trjs msdulos de rastreamento: o light, o medium e o heavy. Nss experimentamos os trjs msdulos, ss
registrando os pacotes rejeitados. Nssexperimentamos em um enderego que nco permite nenhum acesso para
podermos ter uma log completa da agco do Satan.

Varredura efetuada pelo software SATAN em modulo Light

Nov 29 10:39:18 firewall kernel: R TCP 164.41.12.65 859 164.41.12.126 111

Como podemos observar, o msdulo light apenas faz uma consulta ao RCP do sistema. Este tipo de agco i
extremamente difmcil, ou impossmvel dizer se esta consulta foi ou nco de uma varredura. Em compensagco, este
msdulo nco fornece muitas informagues sobre o sistema.

Varredura efetuada pelo software SATAN em msdulo Medium

Nov 29 10:42:58 firewall kernel: R TCP 164.41.12.65 891 164.41.12.126 111
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1333 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1334 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1335 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1336 164.41.12.126 79
Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1337 164.41.12.126 79
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1338 164.41.12.126 79
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1339 164.41.12.126 70
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1340 164.41.12.126 80
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1341 164.41.12.126 21
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1342 164.41.12.126 23
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1343 164.41.12.126 25
Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1344 164.41.12.126 119
Nov 29 10:43:02 firewall kernel: R TCP 164.41.12.65 1345 164.41.12.126 540

No modulo medium a varredura i bem mais completa. Ele procura servigos do tipo RPC (porta 111), finger (porta
79), gopher ( porta 70), WWW (porta 80), ftp(porta 21), telnet (porta 23), sendmail (porta 25). nntp (porta 119) e
uucp (porta 540).Note que se a varredura fosse feita externamente a nossa rede a antares.linf.unb.br as portas 70,
80, 21, 23, 25 nco apareceria cordo com a configuragco, mas mesmo assim nss termamos informagues suficientes
para comprovar uma varredura.

Varredura efetuada pelo software SATAN em msdulo Heavy

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3299 164.41.12.126 1
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3300 164.41.12.126 2
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3301 164.41.12.126 3
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3302 164.41.12.126 4
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3303 164.41.12.126 5
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3304 164.41.12.126 6
Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3305 164.41.12.126 7
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3476 164.41.12.126 178
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3477 164.41.12.126 179
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4011 164.41.12.126 713
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4012 164.41.12.126 714
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4013 164.41.12.126 715
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4014 164.41.12.126 716
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4015 164.41.12.126 717
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4016 164.41.12.126 718
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4017 164.41.12.126 719
Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4018 164.41.12.126 720
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4095 164.41.12.126 797
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4096 164.41.12.126 798
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4097 164.41.12.126 799
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4098 164.41.12.126 800
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4099 164.41.12.126 801
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4100 164.41.12.126 802
Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4101 164.41.12.126 803
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4231 164.41.12.126 933
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4232 164.41.12.126 934
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4233 164.41.12.126 935
Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4234 164.41.12.126 936
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4315 164.41.12.126 1017
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4316 164.41.12.126 1018
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4317 164.41.12.126 1019
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4318 164.41.12.126 1020
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4319 164.41.12.126 1021
Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4320 164.41.12.126 1022
Nov 21 14:43:35 firewall kernel: R TCP 164.41.12.65 4321 164.41.12.126 1023
Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1378 164.41.12.126 79
Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1379 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1380 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1381 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1382 164.41.12.126 79
Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1383 164.41.12.126 79
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1384 164.41.12.126 70
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1385 164.41.12.126 80
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1386 164.41.12.126 21
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1387 164.41.12.126 23
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1388 164.41.12.126 25
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1389 164.41.12.126 119
Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1390 164.41.12.126 540

No modulo heavy a varredura ficaria realmente comprovada. O Satan testa eexistjncia de varios servigos tentando
encontrar servigos em portas nao convencionais, como por exemplo telnet em porta 933.

(extraido de uma carta da lista hackers da unicamp)

[email protected]
Todos os direitos autorais reservados a mim.