Baixe o app para aproveitar ainda mais
Prévia do material em texto
LSI TEC (c) 2000 1 Implantação de Sistemas de Segurança com Linux Volnys Borges Bernal Frank Meylan Adilson Guelfi Matteo Nava {volnys,meylan,guelfi,ilnava}@lsi.usp.br Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP http://www.lsi.usp.br/~nsrav LSI TEC (c) 2000 2 Agenda o Configuração Segura Linux o Linux em Ambiente Corporativo o Sistemas de segurança Baseados em Linux LSI TEC (c) 2000 3 Configuração Segura Linux LSI TEC (c) 2000 4 Configuração Segura Linux o A maior parte das distribuições Linux utiliza uma instalação default que não é ideal para ser utilizada em um ambiente corporativo o Em um ambiente corporativo geralmente é necessário um sistema operacional seguro LSI TEC (c) 2000 5 Configuração Segura Linux o Segurança no boot X Senhas BIOS X Segurança Física X Senha LILO + proteção do arquivo X Modo single-user seguro LSI TEC (c) 2000 6 Configuração Segura Linux (1) Habilitar senha no monitor X Objetivo: êEvita que usuários digitem linhas de comando no monitor para, por exemplo: u realizar o boot de um outro dispositivo u realizar o boot no modo single-user (perigoso se não requisitar a senha do administrador) u mudar seqüência de boot (arquiteturas PC) X Restrições êArquiteturas PC: algumas BIOS possuem uma senha mestre que geralmente são conhecidas pela equipe de manutenção e “hackers” êÉ também possível apagar a senha realizando curtocircuito em determinados terminais da flash-ROM LSI TEC (c) 2000 7 Configuração Segura Linux (2) Segurança física X Objetivo êImpedir que a flash-ROM seja apagada, eliminando a senha do monitor. êImpedir que um disco seja roubado. X Restrições êImportante nos servidores que possuam informações sensíveis X Como proceder êRestrição de acesso físico à sala êRestrição física de acesso ao interior do equipamento LSI TEC (c) 2000 8 Configuração Segura Linux (3) Configuração do dispositivo de boot default X Objetivo êImpedir que seja realizado o boot por um dispositivo removível X Como proceder êEm arquiteturas PC, a lista de dispositivos a serem testados para carga do programa de boot deve incluir somente o dispositivo associado à partição raiz. Nunca incluir na lista dispositivos removíveis LSI TEC (c) 2000 9 Configuração Segura Linux (4) Modo single-user seguro X Objetivo êRequisitar a senha do administrador quando entra em modo single-user X Como configurar no Linux RedHat ou debian êDeve existir a seguinte linha no arquivo /etc/inittab: u su:S:wait:/sbin/sulogin LSI TEC (c) 2000 10 Configuração Segura Linux (5) Habilitar modo seguro do LILO (Linux RedHat / Debian) X Objetivo êEvitar que o usuário possa modificar parâmetros de carga (boot) do linux através do LILO. êPara isto é necessário informar uma senha. X Como proceder êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf: u restricted u password = <senha> êModificar a permissão do arquivo /etc/lilo.conf para leitura e escrita somente pelo root LSI TEC (c) 2000 11 Configuração Linux Segura o Opções de operação do kernel X Disponíveis em /proc/sys/net/ipv4 êicmp_echo_ignore_all (desabilitar se não for necessário) êicmp_echo_ignore_broadcast (desabilitar) êip_forward (desabilitar se não for necessário) êip_masq_debug (habilitar) êtcp_syncookies (habilitar) êrp_filter (habilitar) êsecure_redirects (habilitar) êlog_martians (habilitar) êaccept_source_route (desabilitar) LSI TEC (c) 2000 12 Configuração Linux Segura o Segurança de senhas X Habilitar Shadow êColocação das senhas em arquivo protegido (/etc/shadow) X Habilitar Aging êForçar mudança periódica das senhas pelos usuários LSI TEC (c) 2000 13 Configuração Segura Linux o Configuração dos serviços de rede X Somente os serviços de rede estritamente necessários X Desabilitar os processos não necessários X Estes processos podem ser disparados êAtravés de script u Scripts em /etc/rc.d/init?.d u chkconfig - utilitário para habilitar/ desabilitar serviços êAtravés do daemon inetd u Arquivo de configuração: /etc/inetd.conf LSI TEC (c) 2000 14 Configuração Segura Linux o Configuração dos serviços de rede (cont.) X Daemon inetd - Exemplo de arquivo /etc/inetd.conf ftp stream tcp nowait root /bin/ftpd ftpd telnet stream tcp nowait root /bin/telnetd telnetd login stream tcp nowait root /sbin/rlogind rlogind shell stream tcp nowait root /bin/rshd rshd cfinger stream tcp nowait guest /bin/fingerd fingerd #bootp dgram udp wait root /sbin/bootpd bootpd -f pop-2 stream tcp nowait root /sbin/ipop2d ipop2d pop-3 stream tcp nowait root /sbin/ipop3d ipop3d time stream tcp nowait root internal time dgram udp wait root internal rusersd dgram rpc/usd wait root /bin/rusersd rusersd LSI TEC (c) 2000 15 Daemon inetd inetd Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd telnet stream tcp nowait root telnetd login stream tcp nowait root rlogind ftp telnet login TCP open passivo (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas portas necessárias (3) Aguarda conexões 21 23 513 ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd login stream tcp nowait root /usr/sbin/rlogind rlogind LSI TEC (c) 2000 16 Daemon inetd inetd Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd telnet stream tcp nowait root telnetd login stream tcp nowait root rlogind ftp telnet login TCP (4) Recebimento de um pedido de conexão na porta 23 (telnet) 21 23 513 ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd login stream tcp nowait root /usr/sbin/rlogind rlogind LSI TEC (c) 2000 17 Daemon inetd inetd Arquivo /etc/inetd.conf: ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd login stream tcp nowait root /usr/sbin/rlogind rlogind ftp telnet login TCP open passivo (5) Inetd dispara daemon associado (telnetd) telnetd 21 23 513 LSI TEC (c) 2000 18 Configuração Segura Linux o Configurar TCP Wrappers X Serviço de controle de acesso a serviços Internet: êTambém chamado de “tcp_log” êPermite restringir e monitorar (via syslog) requisições para serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros X Funcionalidades êLog u As conexões são monitoradas através do syslog. êControle de acesso u Configurado através dos arquivos: Õ/etc/hosts.allow Õ/etc/hosts.deny LSI TEC (c) 2000 19 Configuração Segura Linux o Configurar TCP Wrappers (cont.) X Exemplo de configuração: ê/etc/hosts.allow u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0 u ftpd: ALL EXCEPT PARANOID ê/etc/hosts.deny u ALL: ALL LSI TEC (c) 2000 20 Configuração Segura Linux o Utilizar SSH em substituição ao telnet/ftp X Instalar OpenSSH o Configuração correta de hora/data X Utilizar protocolos de sincronização de relógio: êntpdate / xntp o Configurar terminais seguros X /etc/securetty o Customizar serviço de log X /etc/syslog.conf X direcionar uma cópia para o servidor central de log LSI TEC (c) 2000 21 Configuração Linux Segura o Habilitar sudo X Permite que um determinado utilitário seja executado com privilégio de administrador X Realiza log das atividades o Instalar e configurar Tripwire X Detecção de intrusão de host o Segurança X-windows X Habilitar X-windows somente se for necessário LSI TEC (c) 2000 22 Configuração Linux Segura o Bastile Linux Project X Script de auxílio na configuração de um sistema LINUX seguro X www.bastile-linux.org LSI TEC (c) 2000 23 Linux em Ambiente Corporativo LSI TEC (c) 2000 24 Linux em Ambiente Corporativo o Pode ser utilizado para várias finalidades distintas: (1) Como desktop para usuários (2) Como servidor êServidores para Intranet êServidores para Internet êServidor Gateway (3)Como plataforma para auditoria e análise de segurança (4) Como plataforma de desenvolvimento (5) Outros LSI TEC (c) 2000 25 Linux em Ambiente Corporativo o (1) Como desktop para os usuários X Linux em substituição aos sistemas Windows9x nos desktops X Vantagens êSistema operacional seguro u Classes distintas de usuários ÕAdministrador / Usuário Normal u Criação de LOGs para auditoria êCusto X Desvantagem êExistem ainda algumas tarefas que não podem ser realizadas em ambiente gráfico êTreinamento de usuários LSI TEC (c) 2000 26 Linux em Ambiente Corporativo Internet DMZ Intranet DNS DMZ Proxy WEB MAIL ? ? DNS p/ Intranet WEB p/ Intranet Arquivos Log ? Clientes LSI TEC (c) 2000 27 Linux em Ambiente Corporativo Internet DMZ IntranetDMZ Endereçamento Privado Endereçamento Privado Roteamento Filtros NAT/Masquerade Proxy reverso VPN LSI TEC (c) 2000 28 Linux em Ambiente Corporativo o (2) Linux como Servidor X Servidores para Intranet êServidor de arquivos u NFS (UNIX), SAMBA (MS-Windows) êServidor WEB para a Intranet u Apache, Netscape êServidor DNS para a Intranet u BIND êServidor de Log u Syslog (nativo) êOutros serviços (Ex. Banco de Dados) LSI TEC (c) 2000 29 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores para DMZ êServidor DNS u BIND êServidor WEB u Apache, Netscape êServidor PROXY u Squid êServidor E-MAIL u sendmail u qmail LSI TEC (c) 2000 30 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores Gateways êRoteamento êFiltro de pacotes êNAT / Masquerade êTransparent Proxy êProxy Reverso êVPN êTambém possível alguns firewalls comerciais LSI TEC (c) 2000 31 Linux em Ambiente Corporativo X Servidores Gateways (cont.) êVantagens u Desempenho u Suporte a Hardware ÕFlexibilidade (comparado a outros UNIX) ÕCusto (comparado a outros UNIX) ÕAtualização u Suporte para diversos protocolos ÕEthernet/FastEthernet/GigabitEthernet ÕISDN / X25 / X21 ÕIPv4, IPX, IPv6 u Suporte a ÕIP-Chains (filtros, NAT, masquerade) u Custo do software LSI TEC (c) 2000 32 Linux em Ambiente Corporativo o (3) Como plataforma para Auditoria e Análise de segurança X Linux para a equipe de segurança / auditoria X Ferramentas: êAnalisadores de vulnerabilidades u Nessus êDetetores de intrusão de rede u Snort LSI TEC (c) 2000 33 Sistemas de segurança para Linux LSI TEC (c) 2000 34 Sistemas de segurança para Linux o Codificação de senhas com MD5 X Permite utilização de senhas com até 256 caracteres X Utiliza codificação hash MD5 o John The Ripper X Avaliador de senhas vulneráveis X Permite detectar senhas “fracas” no sistema X www.openwall.com/john o Crack X Avaliador de senhas vulneráveis LSI TEC (c) 2000 35 Sistemas de segurança para Linux o Tripwire X Detector de intrusão, baseado em host X Versão comercial: www.tripwire.com X Versão livre: www.tripwire.org o AIDE X Detector de intrusão, baseado em host êwww.cs.tut.fi/~rammer/aide.html LSI TEC (c) 2000 36 Sistemas de segurança para Linux o OpenSSH X Implementação livre do protocolo SSH (Secure Shell) X SSH1 / SSH2: Padrão Internet X “Telnet” criptografado e autenticado X “FTP” criptografado e autenticado X Canais X-windows criptografados e autenticados X www.openssh.com o S/Key X One Time Password X Implementação em software LSI TEC (c) 2000 37 Sistemas de segurança para Linux o SQUID X Servidor PROXY X Permite definir ACL êControle de acesso a páginas pelos usuários êFiltros por URL X LOG de acessos X Squid Web Proxy Cache êwwww.squid-cache.org LSI TEC (c) 2000 38 Sistemas de segurança para Linux EthernetEthernet IPIP TCPTCP ARPARP RARPRARP ICMPICMP IGMPIGMP xinetd Servidor UDPUDP EthernetEthernet IPIP TCPTCP ARPARP RARPRARP ICMPICMP IGMPIGMP UDPUDP o NAT x ProxyReverso (xinetd) ΝΑΤ Proxy Reverso LSI TEC (c) 2000 39 Sistemas de segurança para Linux Internet DMZ Intranet DNS DMZ Proxy WEB MAIL ? ? DNS p/ Intranet WEB p/ Intranet Arquivos Log ? Clientes Filtros LSI TEC (c) 2000 40 Sistemas de segurança para Linux Internet DMZ Intranet DNS DMZ Proxy WEB MAIL ? ? DNS p/ Intranet WEB p/ Intranet Arquivos Log ? Clientes Masquerade (troca de endereços N-1) LSI TEC (c) 2000 41 Sistemas de segurança para Linux Internet DMZ Intranet DNS DMZ Proxy WEB MAIL ? ? DNS p/ Intranet WEB p/ Intranet Arquivos Log ? Clientes Proxy Reverso LSI TEC (c) 2000 42 Sistemas de segurança para Linux o xinetd X Proxy Reverso X Permite uma conexão de uma porta para uma outra porta em um outro host o IPChains / IPMasqadm X Permite configurar opções do kernel para: êFiltros de pacotes êNAT - Network Address Translation êMasquerade o Problemas X Log no masquerade (muito log) X Log nos servidores (a identificação da máquina origem é da sua máquina gateway) LSI TEC (c) 2000 43 Sistemas de segurança para Linux o NMAP X Scanner de IP e Portas X www.insecure.org/nmap o SAINT X Analisador de vulnerabilidade (network based) o NESSUS X Scanner de IP e Portas X Analisador de vulnerabilidade (network based) LSI TEC (c) 2000 44 Sistemas de segurança para Linux o SHADOW X Detector de intrusão (network based) X The SANS Institute o SNORT X Detector de intrusão (network based) X www.snort.org LSI TEC (c) 2000 45 Sistemas de segurança para Linux o Firewalls Comerciais X Firewall-1 êwwww.checkpoint.com X Aker Firewall êwwww.aker.com.br X Phoenix Adaptive Firewall êwww.progressive-systems.com LSI TEC (c) 2000 46 Sistemas de segurança para Linux o Kerberos X Sistemas de Autenticação e Confidencialidade o Free Secure WAN X Virtural Private Network X Canal seguro para interligação de redes X Implementa IPSEC X VPN de êhost êrede LSI TEC (c) 2000 47 Sistemas de segurança para Linux o Servidor Central de Log X Objetivo êMáquina confiável que centralize o log de todas as máquinas do sistema X Como configurar êRealizar a configuração segura Linux êDesabilitar todos os servicos de rede êPermitir acesso somente pelo administrador via console LSI TEC (c) 2000 48 Obrigado NSRAV Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP volnys@lsi.usp.br meylan@lsi.usp.br
Compartilhar