Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador I 2º Seminário de Andamento Tiago Pasa SERVIÇO NACIONAL.

Apresentação em tema: "Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador I 2º Seminário de Andamento Tiago Pasa SERVIÇO NACIONAL."— Transcrição da apresentação:

1 Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador I 2º Seminário de Andamento Tiago Pasa tiagopasa@hotmail.com SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS 1

2 Sumário o Introdução o Objetivos oGeral oEspecíficos o Projeto oPróximos passos oSugestões da Banca oTestes Cenários o Cronograma o Referências Bibliográficas (formatadas corretamenta) o Wiki 2

3 Avaliação de ferramentas de análise de segurança Tiago Pasa 3

4 Próximos Passos o Avaliar o desempenho das ferramentas nos cenários implantados. 4

5 Sugestões da Banca Distribuições com falhas - Web for pentester (pentesterlab.com) - Damn Vulnerable Linux 1.5 - Infectious Disease, (vulnhub.com) 5

6 Sugestões da Banca o Livros - Artigo OpenVAS, Nessus - Kali Linux CookBook - Network Auditing, Second Edition - O farejador de vulnerabilidades OpenVAS 6

7 Sugestões da Banca o Níveis de intensidade do escaneamento Nessus OpenVAS 7

8 Sugestões da Banca o Níveis de intensidade do escaneamento NessusOpenVAS 8

9 Consumo CPU Testes Damn Vulnerable Linux Nessus OpenVAS 9

10 Consumo Rede Testes Damn Vulnerable Linux - OpenVAS 10

11 Consumo Rede Testes Damn Vulnerable Linux – Nessus 11

12 Consumo Rede Testes Damn Vulnerable Linux – Nessus Web Teste com opção do nessus Web App Test, mostrou alto tráfego na rede. 12

13 Consumo Rede Testes Damn Vulnerable Linux – Nessus / OpenVAS 13

14 Cenário 1 LiveCD Web For Pentester Vulnerabilidades incluídas nesta distribuição Cross-Site Scripting SQL injections Directory traversal Command injection Code injection XML attacks LDAP attacks File upload 14

15 Cenário 1 LiveCD Web For Pentester Nessus OpenVAS 15 O tempo de execução dos testes pode variar de acordo com o número de serviços e aplicações que rodam no host que está sendo testado.

16 Cenário 2 LiveCD - Damn Vulnerable - WordPress 16

17 Cenário 2 LiveCD - Damn Vulnerable - WordPress Nessus 17

18 Cenário 2 LiveCD - Damn Vulnerable - WordPress OpenVAS 18

19 Cenário 3 Windows 2008 R2 Server Serviços Ativos RDP – Terminal Server IIS 6 – Servidor Web SMB – Compartilhamento Arquivos 19

20 Cenário 3 Windows 2008 R2 Server Nessus 20

21 Cenário 3 Windows 2008 R2 Server OpenVAS 21

22 Otimização das ferramentas Nas duas ferramentas é possível selecionar os plugins NVT´s (Network Vulnerability Test) específicos no perfis de escaneamento de acordo com o sistema operacional e serviços que se deseja analisar. Evita testes desnecessários.

23 Cronograma 23

24 Referências Bibliográficas GIAVAROTO, Sílvio César Roxo. SANTOS, Gerson Raimundo dos. Backtrack Linux – Auditoria e Teste de Invasão em Redes de Computadores. Rio de Janeiro: Editora Ciência Moderna Ltda, 2013. ISBN 978-85-399-0383-2. MORAES, Alexandre Fernandes de. Segurança em Redes - Fundamentos. 1. ed. São Paulo: Editora Érica Ltda, 2010. ISBN 978-85-365-0325-7. TENABLE (2013). Tenable Network Security disponível em: http://www.tenable.com/products/nessus>. Acesso em 18 ago. 2013. 15:30:10. OPENVAS (2013). Open Vulnerability Assessment System disponível em: http://www.openvas.org/about.html>. Acesso em 18 ago. 2013. 15:45:15. PRITCHETT, Willie L. SMET, David De. Kali Linux CookBook. Birmingham B3 2PB, UK.: Published by Packt Publishing Ltd. 2013. ISBN 978-1-78328-959-2. BROWN, Tim. GALITZ, Geoff. O farejador de vulnerabilidades OpenVAS. Linux Magazine, São Paulo, v. 67 p. 34-39. Jun. 2010. ROGERS, Russ. Nessus Network Auditing, Second Edition. Burlington, MA.: Published by Syngress Publishing, Inc. 2008. ISBN 13: 978-1-59749-208-9. 24

25 Wiki Projeto 3 http://187.7.106.14/wiki2013_2/doku.php?id=projeto03:proposta 25