Satan votem no site ae galera

..:: Satan ::.. (Extraído de uma carta da lista hacker da unicamp)

O Satan é uma ferramenta de analise de segurança para auditoria de redes. Ele examina a disponibilidade de serviços do tipo rexc, login, NIS, NFS, finger entre outros. Esta analise é
baseada em regras de segurança para redes de computadores, sendo assim, ele pode ser utilizado tanto para prevenir possíveis invasões quanto para coletar informações necessárias para se invadir um sistema.

Ele foi concebido por Dan Farmer, antigo funcionário da Sun Microsystems e por Wietse Venema, que trabalha na Eindhoven University of Technology.. Na realidade Satan não faz nenhuma mágica. Ele se utiliza de funçõs do Unixoude serviços de protocolo que devolvem informações sobre o sistema no qual esta instalado, isto é, tudo que o Satan faz pode ser feito manualmente, ele apenas facilita e muito este trabalho. Note que o que ele utiliza para colher informações serviços permitidos . Ele encontra um produto de varredura e como qualquer serviço de varredura deixa marcas profundas nas log's dos sistemas.

Para se detectar este tipo de marca, é necessário que se passe a coletar todos os pacotes que passam pela rede e procurar um padrão de varredura. Softwares que são bastante utilizados para se coletar estas informações (como os tcp wrappers) se baseiam em checar os serviços que estão sendo utilizados abaixo da porta 1024 e de serviços que são acessados via inetd. Isto e, tentativas em portas que não estão na tabela do inetd não são registradas. Assim torna-se mais difícil se verificar uma varredura, pois não se consegue registrar todas as ações do software que esta executando a mesma. Em testes anteriores feitos em laboratório, foi confirmado que este tipo de log não i eficiente para se detectar uma varredura.

O Satan tem três módulos de rastreamento: o light, o medium e o heavy. Nss experimentamos os trjs módulos, ss registrando os pacotes rejeitados. Neste experimentamos em um endereço que não permite nenhum acesso para podermos ter uma log completa da ações do Satan

Varredura efetuada pelo software SATAN em modulo Light

Nov 29 10:39:18 firewall kernel: R TCP 164.41.12.65 859 164.41.12.126 111

Como podemos observar, o msdulo light apenas faz uma consulta ao RCP do sistema. Este tipo de agco i extremamente difmcil, ou impossmvel dizer se esta consulta foi ou nco de uma varredura. Em compensagco, este msdulo nco fornece muitas informagues sobre o sistema.

Varredura efetuada pelo software SATAN em msdulo Medium

Nov 29 10:42:58 firewall kernel: R TCP 164.41.12.65 891 164.41.12.126 111

Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1333 164.41.12.126 79

Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1334 164.41.12.126 79

Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1335 164.41.12.126 79

Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1336 164.41.12.126 79

Nov 29 10:43:00 firewall kernel: R TCP 164.41.12.65 1337 164.41.12.126 79

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1338 164.41.12.126 79

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1339 164.41.12.126 70

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1340 164.41.12.126 80

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1341 164.41.12.126 21

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1342 164.41.12.126 23

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1343 164.41.12.126 25

Nov 29 10:43:01 firewall kernel: R TCP 164.41.12.65 1344 164.41.12.126 119

Nov 29 10:43:02 firewall kernel: R TCP 164.41.12.65 1345 164.41.12.126 540

No modulo medium a varredura i bem mais completa. Ele procura servigos do tipo RPC (porta 111), finger (porta 79), gopher ( porta 70), WWW (porta 80), ftp(porta 21), telnet (porta 23), sendmail (porta 25). nntp (porta 119) e uucp (porta 540).Note que se a varredura fosse feita externamente a nossa rede a antares.linf.unb.br as portas 70, 80, 21, 23, 25 nco apareceria cordo com a configuragco, mas mesmo assim nss termamos informagues suficientes para comprovar uma varredura.

Varredura efetuada pelo software SATAN em msdulo Heavy

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3299 164.41.12.126 1

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3300 164.41.12.126 2

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3301 164.41.12.126 3

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3302 164.41.12.126 4

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3303 164.41.12.126 5

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3304 164.41.12.126 6

Nov 21 14:43:27 firewall kernel: R TCP 164.41.12.65 3305 164.41.12.126 7

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3476 164.41.12.126 178

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 3477 164.41.12.126 179

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4011 164.41.12.126 713

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4012 164.41.12.126 714

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4013 164.41.12.126 715

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4014 164.41.12.126 716

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4015 164.41.12.126 717

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4016 164.41.12.126 718

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4017 164.41.12.126 719

Nov 21 14:43:29 firewall kernel: R TCP 164.41.12.65 4018 164.41.12.126 720

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4095 164.41.12.126 797

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4096 164.41.12.126 798

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4097 164.41.12.126 799

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4098 164.41.12.126 800

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4099 164.41.12.126 801

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4100 164.41.12.126 802

Nov 21 14:43:31 firewall kernel: R TCP 164.41.12.65 4101 164.41.12.126 803

Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4231 164.41.12.126 933

Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4232 164.41.12.126 934

Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4233 164.41.12.126 935

Nov 21 14:43:32 firewall kernel: R TCP 164.41.12.65 4234 164.41.12.126 936

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4315 164.41.12.126 1017

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4316 164.41.12.126 1018

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4317 164.41.12.126 1019

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4318 164.41.12.126 1020

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4319 164.41.12.126 1021

Nov 21 14:43:34 firewall kernel: R TCP 164.41.12.65 4320 164.41.12.126 1022

Nov 21 14:43:35 firewall kernel: R TCP 164.41.12.65 4321 164.41.12.126 1023

Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1378 164.41.12.126 79

Nov 21 14:44:18 firewall kernel: R TCP 164.41.12.65 1379 164.41.12.126 79

Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1380 164.41.12.126 79

Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1381 164.41.12.126 79

Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1382 164.41.12.126 79

Nov 21 14:44:19 firewall kernel: R TCP 164.41.12.65 1383 164.41.12.126 79

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1384 164.41.12.126 70

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1385 164.41.12.126 80

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1386 164.41.12.126 21

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1387 164.41.12.126 23

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1388 164.41.12.126 25

Transfer interrupted!

Nov 21 14:44:20 firewall kernel: R TCP 164.41.12.65 1390 164.41.12.126 540

No modulo heavy a varredura ficaria realmente comprovada. O Satan testa existjncia de varios servigos tentando encontrar servigos em portas nao convencionais, como por exemplo telnet em porta 933.