LinuxSecurity-colorida

Prévia do material em texto

LSI TEC (c) 2000 1
Implantação de Sistemas de
Segurança com Linux
Volnys Borges Bernal
Frank Meylan
Adilson Guelfi
Matteo Nava
{volnys,meylan,guelfi,ilnava}@lsi.usp.br
Núcleo de Segurança e Redes de Alta Velocidade
Laboratório de Sistemas Integráveis
Escola Politécnica da USP
http://www.lsi.usp.br/~nsrav
LSI TEC (c) 2000 2
Agenda
o Configuração Segura Linux
o Linux em Ambiente Corporativo
o Sistemas de segurança Baseados em Linux
LSI TEC (c) 2000 3
Configuração Segura Linux
LSI TEC (c) 2000 4
Configuração Segura Linux
o A maior parte das distribuições Linux utiliza uma
instalação default que não é ideal para ser utilizada em
um ambiente corporativo
o Em um ambiente corporativo geralmente é necessário
um sistema operacional seguro
LSI TEC (c) 2000 5
Configuração Segura Linux
o Segurança no boot
X Senhas BIOS
X Segurança Física
X Senha LILO + proteção do arquivo
X Modo single-user seguro
LSI TEC (c) 2000 6
Configuração Segura Linux
(1) Habilitar senha no monitor
X Objetivo:
êEvita que usuários digitem linhas de comando no monitor para,
por exemplo:
u realizar o boot de um outro dispositivo
u realizar o boot no modo single-user (perigoso se não requisitar
a senha do administrador)
u mudar seqüência de boot (arquiteturas PC)
X Restrições
êArquiteturas PC: algumas BIOS possuem uma senha mestre que
geralmente são conhecidas pela equipe de manutenção e
“hackers”
êÉ também possível apagar a senha realizando curtocircuito em
determinados terminais da flash-ROM
LSI TEC (c) 2000 7
Configuração Segura Linux
(2) Segurança física
X Objetivo
êImpedir que a flash-ROM seja apagada, eliminando a senha do
monitor.
êImpedir que um disco seja roubado.
X Restrições
êImportante nos servidores que possuam informações sensíveis
X Como proceder
êRestrição de acesso físico à sala
êRestrição física de acesso ao interior do equipamento
LSI TEC (c) 2000 8
Configuração Segura Linux
(3) Configuração do dispositivo de boot default
X Objetivo
êImpedir que seja realizado o boot por um dispositivo removível
X Como proceder
êEm arquiteturas PC, a lista de dispositivos a serem testados para
carga do programa de boot deve incluir somente o dispositivo
associado à partição raiz. Nunca incluir na lista dispositivos
removíveis
LSI TEC (c) 2000 9
Configuração Segura Linux
(4) Modo single-user seguro
X Objetivo
êRequisitar a senha do administrador quando entra em modo
single-user
X Como configurar no Linux RedHat ou debian
êDeve existir a seguinte linha no arquivo /etc/inittab:
u su:S:wait:/sbin/sulogin
LSI TEC (c) 2000 10
Configuração Segura Linux
(5) Habilitar modo seguro do LILO (Linux RedHat / Debian)
X Objetivo
êEvitar que o usuário possa modificar parâmetros de carga (boot)
do linux através do LILO.
êPara isto é necessário informar uma senha.
X Como proceder
êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf:
u restricted
u password = <senha>
êModificar a permissão do arquivo /etc/lilo.conf para leitura e
escrita somente pelo root
LSI TEC (c) 2000 11
Configuração Linux Segura
o Opções de operação do kernel
X Disponíveis em /proc/sys/net/ipv4
êicmp_echo_ignore_all (desabilitar se não for necessário)
êicmp_echo_ignore_broadcast (desabilitar)
êip_forward (desabilitar se não for necessário)
êip_masq_debug (habilitar)
êtcp_syncookies (habilitar)
êrp_filter (habilitar)
êsecure_redirects (habilitar)
êlog_martians (habilitar)
êaccept_source_route (desabilitar)
LSI TEC (c) 2000 12
Configuração Linux Segura
o Segurança de senhas
X Habilitar Shadow
êColocação das senhas em arquivo protegido
(/etc/shadow)
X Habilitar Aging
êForçar mudança periódica das senhas pelos usuários
LSI TEC (c) 2000 13
Configuração Segura Linux
o Configuração dos serviços de rede
X Somente os serviços de rede estritamente necessários
X Desabilitar os processos não necessários
X Estes processos podem ser disparados
êAtravés de script
u Scripts em /etc/rc.d/init?.d
u chkconfig - utilitário para habilitar/ desabilitar serviços
êAtravés do daemon inetd
u Arquivo de configuração: /etc/inetd.conf
LSI TEC (c) 2000 14
Configuração Segura Linux
o Configuração dos serviços de rede (cont.)
X Daemon inetd - Exemplo de arquivo /etc/inetd.conf
ftp stream tcp nowait root /bin/ftpd ftpd
telnet stream tcp nowait root /bin/telnetd telnetd
login stream tcp nowait root /sbin/rlogind rlogind
shell stream tcp nowait root /bin/rshd rshd
cfinger stream tcp nowait guest /bin/fingerd fingerd
#bootp dgram udp wait root /sbin/bootpd bootpd -f
pop-2 stream tcp nowait root /sbin/ipop2d ipop2d
pop-3 stream tcp nowait root /sbin/ipop3d ipop3d
time stream tcp nowait root internal
time dgram udp wait root internal
rusersd dgram rpc/usd wait root /bin/rusersd rusersd
LSI TEC (c) 2000 15
Daemon inetd
inetd
Arquivo /etc/inetd.conf:
ftp stream tcp nowait root ftpd
telnet stream tcp nowait root telnetd
login stream tcp nowait root rlogind
ftp telnet login
TCP
open
passivo
(1) Inetd lê arquivo de configuração (/etc/inetd.conf)
(2) Realiza “open passivo” nas portas necessárias
(3) Aguarda conexões
21 23 513
ftp stream tcp nowait root /usr/sbin/ftpd ftpd
telnet stream tcp nowait root /usr/sbin/telnetd telnetd
login stream tcp nowait root /usr/sbin/rlogind rlogind
LSI TEC (c) 2000 16
Daemon inetd
inetd
Arquivo /etc/inetd.conf:
ftp stream tcp nowait root ftpd
telnet stream tcp nowait root telnetd
login stream tcp nowait root rlogind
ftp telnet login
TCP
(4) Recebimento de um pedido de conexão na porta 23
(telnet)
21 23 513
ftp stream tcp nowait root /usr/sbin/ftpd ftpd
telnet stream tcp nowait root /usr/sbin/telnetd telnetd
login stream tcp nowait root /usr/sbin/rlogind rlogind
LSI TEC (c) 2000 17
Daemon inetd
inetd
Arquivo /etc/inetd.conf:
ftp stream tcp nowait root /usr/sbin/ftpd ftpd
telnet stream tcp nowait root /usr/sbin/telnetd telnetd
login stream tcp nowait root /usr/sbin/rlogind rlogind
ftp telnet login
TCP
open
passivo
(5) Inetd dispara daemon associado (telnetd)
telnetd
21 23 513
LSI TEC (c) 2000 18
Configuração Segura Linux
o Configurar TCP Wrappers
X Serviço de controle de acesso a serviços Internet:
êTambém chamado de “tcp_log”
êPermite restringir e monitorar (via syslog) requisições para
serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros
X Funcionalidades
êLog
u As conexões são monitoradas através do syslog.
êControle de acesso
u Configurado através dos arquivos:
Õ/etc/hosts.allow
Õ/etc/hosts.deny
LSI TEC (c) 2000 19
Configuração Segura Linux
o Configurar TCP Wrappers (cont.)
X Exemplo de configuração:
ê/etc/hosts.allow
u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID
u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID
u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0
u ftpd: ALL EXCEPT PARANOID
ê/etc/hosts.deny
u ALL: ALL
LSI TEC (c) 2000 20
Configuração Segura Linux
o Utilizar SSH em substituição ao telnet/ftp
X Instalar OpenSSH
o Configuração correta de hora/data
X Utilizar protocolos de sincronização de relógio:
êntpdate / xntp
o Configurar terminais seguros
X /etc/securetty
o Customizar serviço de log
X /etc/syslog.conf
X direcionar uma cópia para o servidor central de log
LSI TEC (c) 2000 21
Configuração Linux Segura
o Habilitar sudo
X Permite que um determinado utilitário seja executado com
privilégio de administrador
X Realiza log das atividades
o Instalar e configurar Tripwire
X Detecção de intrusão de host
o Segurança X-windows
X Habilitar X-windows somente se for necessário
LSI TEC (c) 2000 22
Configuração Linux Segura
o Bastile Linux Project
X Script de auxílio na configuração de um sistema LINUX seguro
X www.bastile-linux.org
LSI TEC (c) 2000 23
Linux em Ambiente Corporativo
LSI TEC (c) 2000 24
Linux em Ambiente Corporativo
o Pode ser utilizado para várias finalidades distintas:
(1) Como desktop para usuários
(2) Como servidor
êServidores para Intranet
êServidores para Internet
êServidor Gateway
(3)Como plataforma para auditoria e análise de segurança
(4) Como plataforma de desenvolvimento
(5) Outros
LSI TEC (c) 2000 25
Linux em Ambiente Corporativo
o (1) Como desktop para os usuários
X Linux em substituição aos sistemas Windows9x nos desktops
X Vantagens
êSistema operacional seguro
u Classes distintas de usuários
ÕAdministrador / Usuário Normal
u Criação de LOGs para auditoria
êCusto
X Desvantagem
êExistem ainda algumas tarefas que não podem ser realizadas
em ambiente gráfico
êTreinamento de usuários
LSI TEC (c) 2000 26
Linux em Ambiente Corporativo
Internet
DMZ
Intranet
DNS
DMZ
Proxy WEB
MAIL ? ?
DNS p/
Intranet
WEB p/
Intranet
Arquivos
Log ? Clientes
LSI TEC (c) 2000 27
Linux em Ambiente Corporativo
Internet
DMZ
IntranetDMZ
Endereçamento
Privado
Endereçamento
Privado
Roteamento
Filtros
NAT/Masquerade
Proxy reverso
VPN
LSI TEC (c) 2000 28
Linux em Ambiente Corporativo
o (2) Linux como Servidor
X Servidores para Intranet
êServidor de arquivos
u NFS (UNIX), SAMBA (MS-Windows)
êServidor WEB para a Intranet
u Apache, Netscape
êServidor DNS para a Intranet
u BIND
êServidor de Log
u Syslog (nativo)
êOutros serviços (Ex. Banco de Dados)
LSI TEC (c) 2000 29
Linux em Ambiente Corporativo
o (2) Linux como Servidor (cont.)
X Servidores para DMZ
êServidor DNS
u BIND
êServidor WEB
u Apache, Netscape
êServidor PROXY
u Squid
êServidor E-MAIL
u sendmail
u qmail
LSI TEC (c) 2000 30
Linux em Ambiente Corporativo
o (2) Linux como Servidor (cont.)
X Servidores Gateways
êRoteamento
êFiltro de pacotes
êNAT / Masquerade
êTransparent Proxy
êProxy Reverso
êVPN
êTambém possível alguns firewalls comerciais
LSI TEC (c) 2000 31
Linux em Ambiente Corporativo
X Servidores Gateways (cont.)
êVantagens
u Desempenho
u Suporte a Hardware
ÕFlexibilidade (comparado a outros UNIX)
ÕCusto (comparado a outros UNIX)
ÕAtualização
u Suporte para diversos protocolos
ÕEthernet/FastEthernet/GigabitEthernet
ÕISDN / X25 / X21
ÕIPv4, IPX, IPv6
u Suporte a
ÕIP-Chains (filtros, NAT, masquerade)
u Custo do software
LSI TEC (c) 2000 32
Linux em Ambiente Corporativo
o (3) Como plataforma para Auditoria e Análise de
segurança
X Linux para a equipe de segurança / auditoria
X Ferramentas:
êAnalisadores de vulnerabilidades
u Nessus
êDetetores de intrusão de rede
u Snort
LSI TEC (c) 2000 33
Sistemas de segurança para Linux
LSI TEC (c) 2000 34
Sistemas de segurança para Linux
o Codificação de senhas com MD5
X Permite utilização de senhas com até 256 caracteres
X Utiliza codificação hash MD5
o John The Ripper
X Avaliador de senhas vulneráveis
X Permite detectar senhas “fracas” no sistema
X www.openwall.com/john
o Crack
X Avaliador de senhas vulneráveis
LSI TEC (c) 2000 35
Sistemas de segurança para Linux
o Tripwire
X Detector de intrusão, baseado em host
X Versão comercial: www.tripwire.com
X Versão livre: www.tripwire.org
o AIDE
X Detector de intrusão, baseado em host
êwww.cs.tut.fi/~rammer/aide.html
LSI TEC (c) 2000 36
Sistemas de segurança para Linux
o OpenSSH
X Implementação livre do protocolo SSH (Secure Shell)
X SSH1 / SSH2: Padrão Internet
X “Telnet” criptografado e autenticado
X “FTP” criptografado e autenticado
X Canais X-windows criptografados e autenticados
X www.openssh.com
o S/Key
X One Time Password
X Implementação em software
LSI TEC (c) 2000 37
Sistemas de segurança para Linux
o SQUID
X Servidor PROXY
X Permite definir ACL
êControle de acesso a páginas pelos usuários
êFiltros por URL
X LOG de acessos
X Squid Web Proxy Cache
êwwww.squid-cache.org
LSI TEC (c) 2000 38
Sistemas de segurança para Linux
EthernetEthernet
IPIP
TCPTCP
ARPARP RARPRARP
ICMPICMP IGMPIGMP
xinetd Servidor
UDPUDP
EthernetEthernet
IPIP
TCPTCP
ARPARP RARPRARP
ICMPICMP IGMPIGMP
UDPUDP
o NAT x ProxyReverso (xinetd)
ΝΑΤ
Proxy
Reverso
LSI TEC (c) 2000 39
Sistemas de segurança para Linux
Internet
DMZ
Intranet
DNS
DMZ
Proxy WEB
MAIL ? ?
DNS p/
Intranet
WEB p/
Intranet
Arquivos
Log ? Clientes
Filtros
LSI TEC (c) 2000 40
Sistemas de segurança para Linux
Internet
DMZ
Intranet
DNS
DMZ
Proxy WEB
MAIL ? ?
DNS p/
Intranet
WEB p/
Intranet
Arquivos
Log ? Clientes
Masquerade
(troca de endereços N-1)
LSI TEC (c) 2000 41
Sistemas de segurança para Linux
Internet
DMZ
Intranet
DNS
DMZ
Proxy WEB
MAIL ? ?
DNS p/
Intranet
WEB p/
Intranet
Arquivos
Log ? Clientes
Proxy
Reverso
LSI TEC (c) 2000 42
Sistemas de segurança para Linux
o xinetd
X Proxy Reverso
X Permite uma conexão de uma porta para uma outra porta em
um outro host
o IPChains / IPMasqadm
X Permite configurar opções do kernel para:
êFiltros de pacotes
êNAT - Network Address Translation
êMasquerade
o Problemas
X Log no masquerade (muito log)
X Log nos servidores (a identificação da máquina origem é da sua
máquina gateway)
LSI TEC (c) 2000 43
Sistemas de segurança para Linux
o NMAP
X Scanner de IP e Portas
X www.insecure.org/nmap
o SAINT
X Analisador de vulnerabilidade (network based)
o NESSUS
X Scanner de IP e Portas
X Analisador de vulnerabilidade (network based)
LSI TEC (c) 2000 44
Sistemas de segurança para Linux
o SHADOW
X Detector de intrusão (network based)
X The SANS Institute
o SNORT
X Detector de intrusão (network based)
X www.snort.org
LSI TEC (c) 2000 45
Sistemas de segurança para Linux
o Firewalls Comerciais
X Firewall-1
êwwww.checkpoint.com
X Aker Firewall
êwwww.aker.com.br
X Phoenix Adaptive Firewall
êwww.progressive-systems.com
LSI TEC (c) 2000 46
Sistemas de segurança para Linux
o Kerberos
X Sistemas de Autenticação e Confidencialidade
o Free Secure WAN
X Virtural Private Network
X Canal seguro para interligação de redes
X Implementa IPSEC
X VPN de
êhost
êrede
LSI TEC (c) 2000 47
Sistemas de segurança para Linux
o Servidor Central de Log
X Objetivo
êMáquina confiável que centralize o log de todas as máquinas do
sistema
X Como configurar
êRealizar a configuração segura Linux
êDesabilitar todos os servicos de rede
êPermitir acesso somente pelo administrador via console
LSI TEC (c) 2000 48
Obrigado
NSRAV
Núcleo de Segurança e Redes de Alta Velocidade
Laboratório de Sistemas Integráveis
Escola Politécnica da USP
volnys@lsi.usp.br
meylan@lsi.usp.br