Primeiro o Crack processa o campo do arquivo de senhas que contém informações sobre o usuário, descobrindo aproximadamente 4% das senhas. Este passo acaba rapidamente pois trabalha com poucos dados.

A primeira fase do segundo passo consiste em verificar as palavras do dicionário ( onde o crack descobre outros 5% das senhas ). Nas fases seguintes são aplicadas regras sobre as informações do usuário e dicionários, por exemplo, palavra mais um número, palavra mais dois números, etc. O percentual de senhas descobertas vai diminuindo a cada fase, 2%, 1%, 0.5%... O tempo nesse passo depende da capacidade da CPU e quantos dicionários são usados.
 
 
 

Tripwire é um software que checa a integridade de arquivos e diretórios, comparando os arquivos e diretórios atuais com a informação armazenada anteriormente no banco de dados.
 

SSH ( Secure Shell ) é um programa para entrar em outro computador da rede, executar comandos UNIX em uma máquina remota e copiar arquivos de uma máquina para a outra.

As suas principais características são:

• Novos métodos de autenticação: .rhosts combinado com autenticação RSA da máquina e autenticação RSA pura.
• Todas as conexões são criptografadas de forma transparente e automática
• Protege o DISPLAY das sessões ( conexões X11 )
• Pode criptografar outros serviços, por exemplo, ftp, tftp, etc.
• Protege as conexões contra cavalos de tróia, DNS spoofing, routing spoofing, IP spoofing.
• Pode criar um agente de autenticação, criando na workstation local ou laptop uma chave RSA de autenticação que é válida para toda sessão.
• Este programa pretende substituir rlogin, rsh, rcp e a maioria das funções do telnet, provendo comunicações mais seguras ( criptografadas ) entre duas máquinas.

Para fazer a conexão entre máquinas sem fornecer senha, o ssh pode usar três métodos de autenticação :

• O primeiro usa os arquivos $HOME/.shosts ( similar ao $HOME/.rhosts ),$HOME/.rhosts,/etc/hosts.equiv e /etc/shosts.equiv ( similar ao /etc/hosts.equiv). Este tipo de conexão não é seguro.
• O segundo método de autenticação combina os arquivos HOME/.shosts , $HOME/.rhosts, /etc/hosts.equiv e /etc/shosts.equiv com a autenticação da máquina. Este método protege a conexão de IP spoofing, DNS spoofing e Routing spoofing.
• Como terceiro método de autenticação, o ssh implementa o protocolo RSA de autenticação, que é baseado em chaves públicas de criptografia. Neste sistema de criptografia, a encriptação e decriptação são feitos usando chaves separadas e não é possivel gerar uma chave de decriptografia a partir de uma chave de encriptografia. Cada usuário deve criar seus pares de chaves RSA ( pública/privada ), através do programa ssh-keygen. A chave privada é armazenada no arquivo $HOME/.ssh/identity e a chave pública no arquivo $HOME/.ssh/identity.pub . Para fazer a conexão deve-se copiar o $HOME/.ssh/identity.pub da máquina origem para $HOME/.ssh/authorized_keys da máquina destino. Nesse tipo de conexão a comunicação é toda criptografada.

IPFW ( IP firewall ) é um firewall baseado na filtragem de pacotes.
Filtragem de pacotes, é um mecanismo dos roteadores que controla os pacotes que passam de uma rede para a outra, comparando cada pacote com uma lista de regras antes de decidir se esse pacote deve ser repassado ou não.

Sintax do comando :

ipfw file
ipfw [-f | -q] flush
ipfw [-q] zero [number ...]
ipfw delete number ...
ipfw [-aftN] list [number ...]
ipfw [-ftN] show [number ...]
ipfw [-q] add [number] action [log] proto from src to dst [via name |  ipno] [options]

Flags:
-a        Contabiliza o numero de ocorrências
-f         Não pede confirmação
-q        Não mostra mensagens
-t         Mostra timestamp
-N       Tenta resolver o endereço IP e nome do serviço

Ações:
        allow                        Permite pacotes
        deny                         Discarta pacotes
        reject                       Rejeita pacotes
        unreach code        Rejeita pacotes ICMP unreachable
       reset                         Discarta pacotes
       count                       Atualiza contadores
      divert port              Desvia  pacotes
       tee  port                 Envia uma cópia
       skipto n                  Pula as "n" regras subsequentes

Protocolos:
            ip
            tcp
            udp
            icmp
            <number | name>

Endereços origem e destino :
            <address/mask> [ports]
            ipno
            ipno:mask
            ipno/bits

Portas:
            {port|port-port}[,port[,...]]

Caminhos:
            via ifX                     Pacotes devem passar pela interface ifX
            via any                    Pacotes devem passar por alguma interface
            via ipno                   Pacotes devem passar pela interface que tem o endereço IP ipno

Opções adcionais:

        frag                             Fragmentos
        in                                 Pacotes que estão entrando
        out                              Pacotes que estão saindo
        ipoptions spec         Pacotes com a lista de opções especificadas em spec
        established               Conexões estabelecidas
        setup                          Pacotes que inicializarão a conexão, ou seja, possuem  o bit SYN mas não possuem o bit ACK
        tcpflags spec           Pacotes TCP com a lista de opções especificadas em spec
        icmptypes types     Pacotes ICMP com os tipos de mensagem  especificadas em  types

Alguns serviços e suas respectivas portas ( /etc/services ) :

ftp-data         20/tcp                   #File Transfer [Default Data]
ftp-data         20/udp                  #File Transfer [Default Data]
ftp                    21/tcp                   #File Transfer [Control]
ftp                    21/udp                  #File Transfer [Control]
ssh                  22/tcp                    #Secure Shell Login
ssh                  22/udp                   #Secure Shell Login
telnet              23/tcp
telnet              23/udp
smtp                25/tcp                    mail         #Simple Mail Transfer
smtp                25/udp                   mail         #Simple Mail Transfer
domain           53/tcp                  #Domain Name Server
domain           53/udp                 #Domain Name Server
finger              79/tcp
finger               79/udp
http                  80/tcp                    www         www-http           #World Wide Web HTTP
http                  80/udp                   www www-http                   #World Wide Web HTTP
pop2                109/tcp                  postoffice                                 #Post Office Protocol - Version 2
pop2                109/udp                 postoffice                                 #Post Office Protocol - Version 2
pop3                110/tcp                                                                      #Post Office Protocol - Version 3
pop3                110/udp                                                                     #Post Office Protocol - Version 3
auth                 113/tcp                  ident tap                                    #Authentication Service
auth                 113/udp                 ident tap                                    #Authentication Service
ntp                   123/tcp                  #Network Time Protocol
ntp                   123/udp                 #Network Time Protocol
imap                143/tcp                  imap2 imap4                             #Interim Mail Access Protocol v2
imap                143/udp                 imap2 imap4                             #Interim Mail Access Protocol v2
 

Sequencia de Instalaçãdo do IPFW para FreeBSD :

1. Recompilar  o kernel incluindo as seguintes opções ao seu arquivo de configuração:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPDIVERT

2. Editar o arquivo /etc/rc.conf e alterar as entradas:

firewall_enable="NO"                        # Set to YES to enable firewall functionality
firewall_type="UNKNOWN"          # Firewall type (see /etc/rc.firewall)
para:
firewall_enable="YES"                       # Set to YES to enable firewall functionality
firewall_type="open"                           # Firewall type (see /etc/rc.firewall)

e alterar tambem a entrada:

gateway_enable="NO"
para:
gateway_enable="YES"
 
Opções de regras predefinidas:
 open                        Acesso liberado
 client                       Protege apenas a maquina local
 simple                     Configuração básica para a proteção de uma rede
 closed                      Desabilita todos os servicos
 UNKNOWN         Desabilita a execução das regras de filtragem.
 
 

Flags:
        -c arquivo                                        Arquivo de configuração.
        -r +hh:mm /hh:mm[am|pm]       Reinicializa o swatch.
        -P separador                                   Define o separador.  O default  é virgula.
        -f arquivo                                         Arquivo de log.
        -t arquivo                                         Examina continuamente o arquivo de log.

Sintaxe do arquivo de configuração
 /argumento_de_busca/[,/argumento_de_busca/,...]     ação[,ação,...] [[HH:]MM:]SS]   [coluna_inicio:coluna_fim]

Ações:
        echo[=mode]                                         Manda mensagem para a tela
        bell[=N]                                                   Alerta sonoro
        exec=comando                                      Executa comando
         ignore                                                       Ignora
         mail[=endereço:endereço:...]           Envia mail
         pipe=comando                                       Executa comando com stdin sendo o resultado da busca
         write[=usuário:usuário:...]               Manda mensagem na tela do usuário

Exemplo:
swatch -c ~/.swatchrc -f /var/log/messages

Os execícios consistem em buscar os softwares no repositório ( file://ftp.unicamp.br/pub/security/tools ), configurar, instalar, executar e analisar os resultados.

1) Instalar o Crack

• Download do Crack ( file://ftp.unicamp.br/pub/security/tools/crack5.0.tar.gz )
• Descomprimir o archive
• Explodir o archive
• Editar o arquivo src/util/Makefile e adcionar "-lcrypt" na linha
XLIB=$(XDIR)/libc5.a $(XLIBS)
• Mover src/libdes para src/libdes,orig ( mv src/libdes src/libdes,orig )
• Copiar o arquivo src/util/elcid.c,bsd para src/util/elcid.c ( cp src/util/elcid.c,bsd src/util/elcid.c )
• Executar o crack ( ./Crack -fmt bsd /etc/master.passwd )
• Verificar o resultado ( ./Reporter )

• Download do Tripwire ( file://ftp.unicamp.br/pub/security/tools/tripwire-1.2.tar.gz )
• Descomprimir o archive
• Explodir o archive
• Editar o arquivo include/config.h e fazer as seguinstes alterações :
• alterar a primeira linha de :
#include "../configs/conf-xxxx.h"
para :
#include "../configs/conf-bsd.h" ( vi include/config.h )
• alterar a variável CONFIG_PATH
( #define CONFIG_PATH "/usr/local/src/tripwire-1.2" )
• alterar a variável DATABASE_PATH
( #define DATABASE_PATH "/usr/local/src/tripwire-1.2/databases" )
• Editar o arquivo configs/conf-bsd.h e alterar a linha:
#undef STDLIBH
para
#define STDLIBH
• Compilar o Tripwire
• Configurar o Tripwire ( cp configs/tw.conf.386bsd tw.config )
• Executar o Tripwire com flag para inicializar a base de dados ( ./src/tripwire -i all -initialize )
• Observar o relatório
• Alterar a proteção do arquivo de senhas ( chmod 644 /etc/master.passwd )
• Executar o Tripwire novamente ( ./src/tripwire -i all )
• Observar o relatório novamente

• Download do SSH( file://ftp.unicamp.br/pub/security/tools/ssh/ssh-1.2.27.tar.gz )
• Descomprimir o archive
• Explodir o archive

• Configurar o ssh ( ./configure )
• Compilar o ssh
• Instalar o ssh ( make install )
• Inicializar o daemon do ssh ( ./sshd )
• Fazer um conexão criptografada para a propria máquina com o flag de verbose ( ssh -v localhost )
• Fazer um conexão criptografada para a máquina do grupo(n+1) através do protocolo RSA.

• Alterar o arquivo /etc/rc.conf para o IPFW  trabalhar no modo client
• Analisar e alterar se necessário o arquivo /etc/rc.firewall de forma a :

              - Permitir qualquer pacote vindo da rede local ( 143.106.20.0 - máscara 255.255.255.192 )
              para a máquina local
              - Permitir conexões TCP vindas de qualquer rede quando a conexão já estiver estabelecida
              - Permitir receber mail de qualquer rede
              - Permitir inicialização de qualquer serviço TCP vindo da máquina local para qualquer rede
              - Desabilitar inicialização de qualquer serviço TCP vindos de qualquer rede
              para a máquina local
              - Permitir  consultas ao DNS ( UDP - porta 53 )
              - Permitir ssh (  TCP - porta 22 ) proveniente da rede 143.106.80.0 -
              mascara 255.255.255.192 para a máquina local
              - Permitir telnet ( TCP - porta 23 ) proveniente da máquina do grupo posterior
              ao seu  para a máquina local
             - Negar e gravar no log ( /var/log/messages ) todos os demais acessos.

• Carregar as novas regras do firewall ( sh /etc/rc.firewall )

• Download do Swatch ( file://ftp.unicamp.br/pub/security/tools/swatch-2.2.tar.gz)
• Descomprimir o archive
• Explodir o archive
• Criar os diretorios /usr/local/lib/perl e /usr/local/man/man5 ( mkdir -p /usr/local/lib/perl /usr/local/man/man5 )
• Instalar o swatch ( sh install.sh )
• Editar o arquivo /usr/local/lib/perl/sw_actions.pl e alterar a linha

$MAILER = "/usr/lib/sendmail";

para :
$MAILER = "/usr/sbin/sendmail";
• Editar o arquivo /usr/local/etc/swatch e alterar a linha

$TAIL = "/usr/ucb/tail -f";

para :
$TAIL = "/usr/bin/tail -f";
• Configurar o swatch de forma a monitorar o arquivo /var/log/messages continuamente e mandar mail para o super usuário quando aparecer a mensagem : "Deny TCP"