O que não pode faltar em um ambiente seguro é o LOG, são eles que salvam a vida de qualquer administrador de Sistemas. Para manter um ambiente como este você precisa de um:
- servidor de log centralizado
- servidor de horas (NTPD)
Neste post não vou falar de servidor de log e nem de NTPD, apenas irei demonstrar como usar o módulo ntp_monlist.rb (1) do metasploit. Com este módulo você pode ver os IPs que estão utilizando o servidor de horas para sincronizar o horário. Em uma rede com muitos servidores este método nos ajudaria a detectar todas as máquinas que não estão sincronizando com o nosso servidor.
msf > use auxiliary/scanner/ntp/ntp_monlist
msf auxiliary(1mntp_monlist) > set RHOSTS pool.ntp.br
msf auxiliary(1mntp_monlist) > run
Espere pelo retorno dos IPs dos clientes que recentemente fizeram sincronismo com o servidor de horas.
(1) http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/auxiliary/scanner/ntp/ntp_monlist.rb
(1) http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/auxiliary/scanner/ntp/ntp_monlist.rb
Nenhum comentário:
Postar um comentário