HARDENING LINUX E WINDOWS.

FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO ITALLO LEANDRO HONORATO DA ANUNCIAÇÃO SOUZA JOSÉ CARLOS DA SILVA DE MELO LABORATÓRIO DE REDES DE COMPUTADORES Professor: Fernando Pirkel Tsukahara HARDENING LINUX E WINDOWS. GOIÂNIA

2014 ITALLO LEANDRO HONORATO DA ANUNCIAÇÃO SOUZA JOSÉ CARLOS DA SILVA DE MELO Descrição da(s) atividade(s): Elaborar um relatório sobre como foi feito o processo de Hardening dos servidores contra os ataques de Man-In-The-Middle, a partir do estudo de ferramentas e técnicas para Hardening de Linux contra MITM e Hardening de Windows contra MITM. HARDENING LINUX E WINDOWS. GOIÂNIA

2014 FERRAMENTAS OSSEC Ossec é um HIDS (Sistema de detecção de intrusão baseada em host), ele trabalha em tempo real com o estado dos pacotes, quando um atacante insiste em executar mais de uma vez uma tentativa de acesso o Ossec cria uma regra de Firewall para aquele determinado serviço sendo atacado, juntamente com o ip do atacante, o mesmo fica bloqueado por 10 minutos, que é o tempo padrão, podendo ser alterado, ele é totalmente open source, disponível para vários SO s, Linux, Mac OS e Windows: Análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, política centralizada, detecção de rootkit, alerta em tempo real e resposta automática. Os serviços suportados: UNIX-APENAS: Unix PAM sshd (OpenSSH) Solaris telnetd Samba Su Sudo SERVIDORES FTP: ProFTPd Pure-FTPd vsftpd Microsoft FTP Server Ftpd Solaris

OS SERVIDORES DE EMAIL: IMAPd e pop3d Postfix Sendmail vpopmail Microsoft Exchange Server BANCOS DE DADOS: PostgreSQL MySQL SERVIDORES WEB: Servidor HTTP Apache (log de acesso e log de erro) Servidor web IIS (NSCA e W3C estendido) Zeus web Server errors log APLICATIVOS WEB: Horde IMP SquirrelMail ModSecurity FIREWALLS: Iptables firewall Solaris IPFilter firewall AIX IPsec / firewall Netscreen firewall Firewall do Windows Cisco PIX Cisco FWSM Cisco ASA

NIDS: Cisco IOS módulo de IDS / IPS Snort IDS (completo, rápido e syslog) AS FERRAMENTAS DE SEGURANÇA: Symantec Antivírus Nmap OUTROS: Arpwatch Cisco VPN Concentrator Named (BIND ) Squid Proxy Zeus extensible Traffic Manager (agora Riverbed Stingray Traffic Manager) etc.) Do Windows logs de eventos (logins, logouts, informações de auditoria, Windows roteamento e acesso remoto. Autenticação Unix Genéricos (adduser, logins, etc.) ZABBIX O Zabbix é uma ferramenta de monitoramento de redes, servidores e serviços, pensado para monitorar a disponibilidade, experiência de usuário e qualidade de serviços. A arquitetura Zabbix e a flexibilidade dos módulos permitem que a ferramenta seja utilizada para o monitoramento convencional (vivo/morto on/off), acompanhamento de desempenho de aplicações, análise de experiência de usuário e análise de causa raiz em ambientes complexos, através do servidor Zabbix e as regras de correlacionamento.

A ferramenta de monitoramento de redes Zabbix oferece uma interface 100% Web para administração e exibição de dados. Os alertas do sistema de monitoramento Zabbix podem ser configurados para utilizar vários métodos de comunicação, como SMS, e- mail e abertura de chamados em sistemas de helpdesk. O sistema permite ainda que ações automáticas como, por exemplo, restart de serviços sejam executados a partir de eventos. O Zabbix permite monitoramento agentless (sem agentes) para diversos protocolos e conta com funções de auto-discovery (descoberta automática de itens) e low level discovery (descoberta de métricas em itens monitorados). Os principais módulos do sistema de monitoramento Zabbix são: Zabbix Server O servidor Zabbix coleta dados para o monitoramento sem agentes e de agentes. Quando alguma anormalidade é detectada, alertas são emitidos visualmente e através de uso de sistemas de comunicação como e-mail e SMS. O servidor Zabbix mantém histórico dos dados coletados em banco de dados (Oracle, MySQL e PostgreSQL), de onde são gerados gráficos, painéis de acompanhamento e slide-shows que mostram informações de forma alternada. Apenas o servidor Zabbix é obrigatoriamente instalado em sistemas Unix ou Linux. Zabbix proxy O Zabbix proxy coleta as informações de uma parte do parque monitorado e repassa para o Zabbix server. É um item essencial para uma arquitetura de monitoramento distribuído. O Zabbix proxy é muito útil para: Coleta assíncrona em redes distintas, onde não é possível a manutenção de regras de roteamento e firewall para cada host monitorado; trabalhar como ponto de resiliência nos casos de instabilidade nos links entre redes distintas(wan); diminuir a carga do Zabbix server. Zabbix agent O agente Zabbix é instalado nos hosts e permite coletar métricas comuns - específicas de um sistema operacional, como CPU e memória. Além disso, o agente Zabbix permite a coleta de métricas personalizadas com uso de scripts ou programas externos permitindo a coleta de métricas complexas e até tomada de ações diretamente no próprio agente Zabbix.

Há agentes Zabbix disponíveis para Linux, Solaris, HP-UX, AIX, FreeBSD, OpenBSD, OS X, Tru64/OSF1, Windows NT, Windows Server, Windows XP e Windows Vista. Nagios Nagios é um programa open source de monitoramento de redes que verifica constantemente a disponibilidade do serviço, local ou remoto e avisa por meio de e-mail ou celular sobre o problema ocorrido. É possível obter relatórios de disponibilidade e configurar ações corretivas para os problemas ocorridos na rede. O Nagios tem uma interface que permite monitoramento via WAP e Browser (Netscape, Mozilla, Galeon...), possui configuração de alertas, o que permite tomar ações corretivas para um erro eminente. Monitora serviços de rede (SMTP, POP3, HTTP, NNTP, ICMP, SNMP) Monitora recursos de computadores ou equipamentos de rede (carga do processador, uso de disco, logs do sistema) na maioria dos sistemas operacionais com suporte a rede, mesmo o Microsoft Windows com o plugin NRPE_NT. Monitoração remota suportada através de túneis criptografados SSH ou SSL. Desenvolvimento simples de plugins que permite aos usuários facilmente criar seus próprios modos de monitoração dependendo de suas necessidades, usando a ferramenta de desenvolvimento da sua escolha (Bash, C, Perl, Python, PHP, C#, etc.) Checagem dos serviços paralelizadas, ou seja, se você tiver muitos itens monitorados não há risco de alguns deles não serem checados por falta de tempo. Capacidade de definir a rede hierarquicamente definindo equipamentos "pai", permitindo distinção dos equipamentos que estão indisponíveis daqueles que estão inalcançáveis. Capacidade de notificar quando um serviço ou equipamento apresenta problemas e quando o problema é resolvido (via email, pager, SMS, ou qualquer outro meio definido pelo usuário por plugin). Capacidade de definir tratadores de eventos que executam tarefas em situações prédeterminadas ou para a resolução pró-ativas de problemas. Rotação automática de log. Suporte para implementação de monitoração redundante. Excelente interface web para visualização do atual status da rede, notificações, histórico de problemas, arquivos de log, etc

TRIPWARE O Tripwire é um programa que configura uma linha de base de binários normais do sistema para o seu computador. Ele, então, relata quaisquer anomalias junto a esta linha de base através de um alerta por e-mail ou através de um log. Essencialmente, se os binários do sistema tiverem sido alterados, você saberá sobre isso. Se uma instalação legítima causar uma alteração dessas, não há nenhum problema. Mas se os binários forem alterados como um resultado de um cavalo de Tróia ou rootkit sendo instalado tem um ponto inicial a partir do qual pesquisar o ataque e corrigir os problemas. AIDE Ele cria um banco de dados a partir da expressão regular às regras que ele encontra a partir do arquivo (s) de configuração. Uma vez que esta base de dados é inicializada pode ser usado para verificar a integridade dos arquivos. Ele tem várias mensagens de algoritmos de resumo (ver abaixo) que são usados para verificar a integridade do arquivo. Todos os atributos de arquivo habituais também podem ser verificados por inconsistências. Ele pode ler bancos de dados de versões mais antigas ou mais recentes. TCPDUMP Tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede. WIRESHARK O wireshark Serve para monitorar os pacotes de informações que trafegam através da rede, um analisador de protocolos para redes de computadores. BASTILLE E um programa de Hardening que provê uma ferramenta interativa com o propósito de proporcionar uma intensificação adicional das medidas de segurança para aumentar a segurança geral, e diminuir a suscessibilidade de comprometimento de seu sistema, podendo avaliar o estado atual de um sistema de endurecimento. No seu modo de endurecimento padrão, ele interativamente faz as perguntas de usuários, explica os temas dessas perguntas, e constrói uma política com base nas respostas do usuário. Em seguida, aplica a política para o sistema. No seu modo de avaliação, ele constrói um relatório destinado a ensinar o usuário sobre as configurações de segurança disponíveis, bem como informar o usuário sobre quais configurações foram apertados.

ACTIVE DIRECTORY O Active Directory tem como principal função armazenar a informação sobre objetos de redes de computadores e fornecer esses dados, ou informações aos usuários e aos administradores da rede, que em português se diz (serviço de diretório), criado no sentido de organizar e principalmente ter um lugar centralizado para a busca de informações necessárias do dia-a-dia, para os respectivos trabalhos. (PEREIRA, 2013). Acerca ainda do mercado podemos dizer que o Active Directory assumiu-se, ou seja, foi mais destacado por sua segurança, disponibilidade e desempenho. RISCOS A SEGURANÇA DA INFORMAÇÃO: AMEAÇAS E VULNERABILIDADES Os riscos associados à segurança da informação podem ser classificados em duas categorias: ameaças e vulnerabilidades. Ameaças referem-se às ações e à natureza tomadas pelas pessoas as quais colocam em perigo a informação e infraestrutura de uma empresa. Vulnerabilidades referem-se às deficiências na infraestrutura e organização que expõem riscos a eventos imprevistos e indesejáveis à empresa. (SCARDUELLI, 2009). Ameaças e vulnerabilidades andam em conjunto. As ameaças são ações em potencial que seguirão o caminho de menor resistência, ou seja, vulnerabilidades. AMBIENTE ANTERIOR (Ambiente Hipotético) O servidor escolhido é baseado em Windows Server 2008 R2, e a sua função é atuar como servidor de Active Directory da rede. Foi realizado um processo de Footprint no servidor para avaliar qual o nível de comprometimento em relação à sua segurança. Durante a coleta dos resultados foi percebido que o servidor possibilita acesso remoto conectando através de área de trabalho remota, informando credenciais de rede, e a versão do Terminal Service é vulnerável a ataques man-in-the-middle. Os diretórios do servidor podem ser acessados através da rede fornecendo credenciais de rede. Após uma avaliação no sistema operacional percebeu-se que o mesmo se encontrava desatualizada, e boa parte de seus aplicativos estavam desatualizados. Verificou-se que é possível identificar qual o sistema operacional utilizado no servidor. Por fim foi detectado que o sistema operacional não estava realizando nenhum tipo de auditoria, ou registro de logs dos eventos que ocorriam, tornando impossível a detecção de qualquer tipo de invasão. PROPOSTA DE FERRAMENTAS E TÉCNICAS. Microsoft Baseline Security Analyzer (MBSA) A Microsoft Baseline Security Analyzer (MBSA) é uma excelente ferramenta gratuita que pode ser usada para fornecer uma avaliação detalhada da configuração do seu servidor Windows 2008 R2. Por padrão, o MBSA irá verificar se há vulnerabilidades administrativas no Windows, senhas fracas, vulnerabilidades do Internet Information Services (IIS) e vulnerabilidades do

Structured Query Language (SQL). Além disso, também irá verificar se há atualizações de segurança. A ferramenta pode ser configurada para usar o Microsoft Update, o Windows Server Update Services (WSUS) servidores, ou um catálogo offline. Assistente de Configuração de Segurança (ACS) O objetivo aqui é para limitar a exposição do sistema, desabilitando serviços que não são necessários para execução no servidor, e configurar a segurança adicional da rede, autenticação e configurações de auditoria para um servidor seguro. A ACS irá orientá-lo através do processo de coleta de informações sobre o papel pretendido do servidor e então criar uma política de segurança que pode ser aplicado ao sistema de destino. A ACS também permite que você edite a política existente e, opcionalmente, realizar um rollback de uma política aplicada. Você pode revisar a lista e realizar as alterações necessárias, dependendo da sua aplicação específica. Além da configuração do serviço, o ACS também aborda as configurações de rede de segurança do registro, as configurações de assinaturas de segurança, métodos de autenticação de saída, e políticas de auditoria. Sistema de atualização de aplicativos Uma maneira simples e eficaz para gerenciar essas atualizações é a utilização da função do Windows Server Update Services (WSUS) incluído no Windows Server 2008 R2. O WSUS permite que você monitore de maneira mais eficaz o estado de implantação das atualizações em seu ambiente. Uma vez instalado, você pode configurar seus sistemas Windows (clientes e servidores) via Group Policy Objects (GPO) para utilizar seu servidor WSUS interno para obtenção das atualizações de aplicativos e sistema operacional. O WSUS inclui também ferramentas de relatórios robustos que permitem identificar claramente em quais sistemas estão faltando atualizações, reduzindo a chance de que um invasor pode explorar com sucesso a vulnerabilidade para a qual existe uma atualização existente. FIREWALL Barreira de proteção que ajuda a controlar o tráfego de dados entre um computador ou rede onde o computador está instalado e a internet. Permite a transmissão e recepção de dados autorizados pelo administrador da rede. É considerado um ponto de conexão entre duas redes não confiáveis e permite que a comunicação entre elas seja segura e monitorada a todo o momento. REMOÇÃO DE PACOTES INSEGUROS (LINUX): rshd: Shell que pode ser executado remotamente

rlogind: Possibilita logins remotos rwhod: Servidor de status do sistema telnetd: Servidor telnet (substitua pelo ssh) ftpd: Servidor para transferência de arquivos sendmail: Agente de transferência de correio inetd: Servidor gerenciador de outros daemons etc; NÃO PERMITIR CONEXÕES TELNET OU FTP. DESATIVAR USUÁRIOS DESNECESSÁRIOS LOGS: Log de todas as atividades do usuário; Mantenha-as criptografadas no servidor ou em servidor especifico;

Gerencie os logs; Crie armadilhas que possam capturar ataques ao servidor; Crie scripts que executam periodicamente, para checar a integridade de senhas e outros arquivos críticos, enviando notificações caso haja alguma alteração; Monitore os logs do sistema regularmente; GERENCIAMENTO DAS POLÍTICAS DE SENHAS. Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período; Proibir a repetição de caracteres. Por exemplo, se a senha era '123atu', a próxima senha tem que ter caracteres diferentes; Obrigar a inserção de quantidade de letras e números. Por exemplo, a senha deve ter 4 números e 4 letras; Criar uma lista de senhas que não podem ser utilizadas. GERENCIAMENTO DOS PRIVILÉGIOS. Fazer backup dos arquivos periodicamente. DMZ: Uma DMZ é uma sigla para DeMilitarized Zone ou "Zona Desmilitarizada" é uma sub-rede que dependendo da ocasião, pode ser uma sub-rede física ou lógica que

contém e expõe serviços externos de uma organização para acesso a uma rede maior não confiável, por exemplo, a Internet. O propósito de uma DMZ é adicionar uma camada adicional de segurança na rede local (LAN) onde sua função é manter todos os serviços que possuem acesso externo (ex. servidores HTTP, FTP, email, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local. Aumentar a segurança do SSH: Não permitir login como root. Definir quais grupos e/ou contas de usuários podem fazer login via ssh. Não permitir senhas em branco. Fazer autenticação com chaves e não senhas. Forçar o uso da versão 2 do protocolo. Modificar a porta padrão. Ativar o timeout. Usar port Koncking. (Quando configurado adequadamente, ele fará com que uma determinada porta só seja aberta depois de o host enviar pacotes para um conjunto específico de portas e na ordem correta.). No Linux:

Criar o /home separado: esse é o diretório padrão dos usuários não precisa ficar na mesma partição que o sistema, pois os usuários podem lotar o servidor com arquivos. Separar o Kernel e initrd. Remover o wget: deixar o wget instalado pode ser um perigo, pois ele pode ser usado pelo cracker para baixar arquivos de servidores externos; Particionar o disco. Minimizar o numero de pacotes instalados. Manter o sistema atualizado. Desativar Ctrl+Alt+Delete. Ocultar a versão do SO, DNS, servidor web entre outros... No Windows: Configurar uma política de segurança com o ACS. Desativar ou excluir contas desnecessárias, portas e serviços. Desinstalar aplicativos desnecessários. Usando ferramentas como o Belarc Advisor. Belarc Advisor constrói um perfil detalhado de seu software e hardware instalado, faltando Microsoft hot fixes, estado antivírus, e exibe os resultados em seu navegador. Microsoft SysInternal Ferramentas: Microsoft fornece um conjunto de ferramentas que podem ser usadas para monitorar a atividade do servidor. Manter o sistema atualizado.