Sistemas Distribuídos Segurança Prof. Emerson Ribeiro de Mello Instituto Federal de Santa Catarina IFSC campus São José mello@ifsc.edu.br http://docente.ifsc.edu.br/mello 9 de dezembro de 2015 1/35
Ataques mais frequentes e graves do último ano 2/35
Ataques mais frequentes e graves do último ano Levantamento do cert.br Força bruta no SSH e Wordpress (também em RDP, VNC, FTP, POP3) Servidores web com CMS (Joomla, Wordpress, Drupal, etc.) Desfiguração e hospedagem de malware ou páginas falsas (phishing) Zumbi para gerar DDoS ou minerar bitcoins Boletos bancários alterados malware na máquina, página falsa para 2a. via 2/35
Governo Chinês - O grande irmão! Quando alguém tenta acessar icloud.com ou live.com é redirecionado para um site falso do governo Ataque do homem no meio main-in-the-middle A maioria dos navegadores web dispara o famoso alerta certificado inválido Qihoo, o navegador mais popular na China, não dá qualquer dica que tem algo errado 3/35
Ataques envolvendo DNS no lado dos clientes Objetivo: apontar para um servidor de DNS malicioso Em modems/roteadores SOHO de banda larga força bruta via telnet, ssh, backdoor do fabricante 15/10/13 - D-Link assume backdoors http://goo.gl/ojruyn iframe em páginas maliciosas para alterar o DNS destes dispositivos 1 <iframe height=0 width=0 name="cantseeme"></iframe> 2 <form name="csrf_form" action="http://192.168.1.1/goform/ AdvSetDns" method="post" target="cantseeme"> 3 <img src="http://admin:admin@ip_vitima/dnscfg.cgi?dnsprimary =64.186.158.42&dnsSecondary=64.186.146.68&dnsDynamic=0& dnsrefresh=1" border=0 width=0 height=0> 4/35
Ataques envolvendo DNS no lado dos servidores Servidores DNS de ISP recursivos respondendo incorretamente como autoridade flag aa - authoritative answer 4 dig @IP-DNS-PROVEDOR www.vitima.br 5... 6 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL:! 5/35
DrDoS - Amplificação de DNS 53/UDP Também tem com NTP, SNMP Só são possíveis porque as redes permitem spoofing http://bcp.nic.br/antispoofing 6/35
Internet das coisas Carga de firmware malicioso via rede ou malware no computador do usuário Modems, roteadores, etc SOHO Phishing hospedado em CFTV da Intelbras Mineração de bitcoin em NAS Synology Site falso (phishing) de um banco que orientava a instalar um aplicativo Android para gerar senhas para acesso ao banco http://goo.gl/qugbeu 7/35
Uso de chaves fracas em dispositivos de rede https://factorable.net Chaves criptográficas RSA e DSA (usadas no TLS ou SSH) geradas sem aaleatoriedadenecessária Gerador de números aleatórios no Linux /dev/random Aleatoriedade de alta qualidade Fica bloqueado se a entropia disponível for insuficiente /dev/urandom Gera números pseudo-aleatórios Nunca bloqueia /dev/urandom pode ser usado em tudo, exceto na geração de chaves de longa duração, como no GPG, SSL ou SSH man urandom 8/35
Uso de chaves fracas em dispositivos de rede https://factorable.net Dropbear cliente e servidor SSH Substituto do OpenSSH para ambientes com pouco poder de processamento e memória sistemas embarcados Comentário no código fonte Usaremos /dev/urandom, uma vez que o /dev/random incomoda muito Chave padrão distribuída em diversos dispositivos 9/35
Ataque SYN flood Não responde com ACK o SYN-ACK IP de origem forjado (IP spoofing) Uma solução: Syncookies 10/35
Slowloris migrando ataque para a camada de aplicação Alvo: servidor web baseado em conexões, p.e. Apache HTTP Atacante não precisa de muito recurso (rede e processamento) 11/35
Honeypots e Honeynets Honeypot Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e serviços Honeynet Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras máquinas 12/35
Honeypots e Honeynets Honeypot Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e serviços Honeynet Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras máquinas Regra de ouro O atacante não pode saber que está em uma honeynet 12/35
Honeypots e Honeynets Características Honeypot Honeynet instalação fácil difícil manutenção fácil trabalhosa risco de comprometimento baixo alto obtenção de informações limitada extensiva necessidade de mecanismos de contenção não sim atacante tem acesso ao S.O real não (em teoria) sim aplicações e serviços oferecidos emulados reais atacante pode comprometer o honeypot não (em teoria) sim www.cert.br/docs/whitepapers/honeypots-honeynets/ 13/35
Conceitos sobre Firewall 14/35
Firewall Definição convencional: Parede corta fogo Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edifício para outra 14/35
Firewall Definição convencional: Parede corta fogo Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edifício para outra Definição para sistemas computacionais Ponto de controle que mantém acessos não autorizados fora do perímetro de segurança, ao mesmo tempo possibilita acesso aos sistemas externos Atua como uma barreira de segurança entre a rede interna e o mundo exterior Evita que potenciais vulnerabilidades de serviços sejam exploradas Nenhum software complexo é 100% seguro Pode ser classificado como firewall de máquina ou de rede 14/35
Firewall de máquina (ou Firewall pessoal) Perímetro de segurança: A própria máquina Analisa todo o tráfego entrante e sainte Uma forma de proteção contra spywares, máquinaszumbis As regras podem seguir uma poĺıtica de segurança da organização (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows 15/35
Firewall de máquina (ou Firewall pessoal) Perímetro de segurança: A própria máquina Analisa todo o tráfego entrante e sainte Uma forma de proteção contra spywares, máquinaszumbis As regras podem seguir uma poĺıtica de segurança da organização (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows 15/35
Firewall de rede Perímetro de segurança: rede local da organização Todo o tráfego de dentro para fora, e vice-versa, deverá passar pelo Firewall Somente o tráfego autorizado, definido pela poĺıtica de segurança local, deverá ter permissão para passar O próprio Firewall deverá ser imune a invasões Implica na utilização de um sistema confiável, com um sistema operacional seguro e rodando um conjunto mínimo de serviços 16/35
Características de um firewall de rede Ponto único de controle garante uma maior segurança da rede Mesmo que máquinas de clientes não estejam plenamente seguras Um bom local para realizar Traduções de Endereços de Rede (NAT) e registro do tráfego Não protege contra ataques oriundos da rede interna Não evita que máquinas internas façam uso de modems (3G) e se conectem à rede externa 17/35
Características de um firewall de rede Ponto único de controle garante uma maior segurança da rede Mesmo que máquinas de clientes não estejam plenamente seguras Um bom local para realizar Traduções de Endereços de Rede (NAT) e registro do tráfego Não protege contra ataques oriundos da rede interna Não evita que máquinas internas façam uso de modems (3G) e se conectem à rede externa Firewall pessoal + Firewall rede Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local 17/35
Tipos de firewall 18/35
Tipos de Firewall Filtro de pacotes (camada de rede) Se preocupa com endereço IP de origem/destino, porta de origem/destino, protocolo utilizado Geralmente combinado com roteador Inspeção de estado (camada de transporte) Não filtram pacotes individuais, o filtro é baseado em regras de sessões Gateway no nível de aplicação O tráfego é analisado na camada de aplicação Híbridos 18/35
Filtro de pacotes Atua na camada de rede e não se preocupa com o conteúdo dos pacotes Analisa todo datagrama que passa por este e decide se serão descartados ou encaminhados Endereço IP de origem e de destino Porta de origem e de destino Interface de entrada e de saída Protocolo TCP, UDP ou ICMP 19/35
Filtro de pacotes Exemplos Poĺıtica Configuração do firewall 20/35
Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 20/35
Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Máquinas internas não podem ser acessadas remotamente Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 Descarte pacotes destinados as portas do SSH, VNC, RDesktop 20/35
Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Máquinas internas não podem ser acessadas remotamente Usuários podem navegar na web Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tráfego sainte para as portas 80 e 443 20/35
Inspeção de estado Atua na camada de transporte (camada 4) Não analisa pacotes individuais Mantém estado de todas as conexões que passam por este Consegue determinar se um pacote faz parte de uma conexão existente ou de uma nova conexão TCP Flags: SYN,ACK... 7 172.18.0.4 172.18.0.10 8 9 SYN 10 (41143) ------------------> (1234) 11 SYN, ACK 12 (41143) <------------------ (1234) 13 ACK 14 (41143) ------------------> (1234) 15 PSH, ACK - Len: 3 16 (41143) ------------------> (1234) 17 ACK 18 (41143) <------------------ (1234) 19 PSH, ACK - Len: 6 20 (41143) <------------------ (1234) 21 ACK 22 (41143) ------------------> (1234) 23 FIN, ACK 24 (41143) ------------------> (1234) 25 FIN, ACK 26 (41143) <------------------ (1234) 27 ACK 28 (41143) ------------------> (1234) 21/35
Gateway no nível de aplicação Atua na camada de aplicação (camada 7), examinando o conteúdo dos pacotes Permite um controle mais granular que aquele presente nos filtros de pacotes e de sessões Ex: Aos usuários internos não é permitido baixar arquivos.exe Pode ser combinado com antivírus Consome uma carga maior de processamento se comparado a outros filtros A conexão entre clientes e servidores é sempre intermediada 1 Pacotes originados pelos clientes param no gateway, onde são analisados 2 Se estiverem de acordo, o gateway inicia uma conexão com o servidor externo 22/35
Comparativo entre os tipos de firewall Filtro de pacotes Inspeção de estados Gateway de aplicação 23/35
Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Gateway de aplicação 23/35
Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação 23/35
Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação Vantagens Filtro granular baseado em conteúdo; cache; autenticação de usuários Desvantagens Nem todas aplicações funcionam com este; desempenho 23/35
Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação Vantagens Filtro granular baseado em conteúdo; cache; autenticação de usuários Desvantagens Nem todas aplicações funcionam com este; desempenho A combinação destes se mostra como uma boa solução 23/35
Projetos de firewall 24/35
Estratégias de configuração 24/35
Estratégias de configuração Estratégia Descrição Local Instalado em cada máquina individual Roteador/Firewall Uma única máquina para roteamento e filtragem de pacotes Firewall com 2 interfaces Intermedia a conexão entre a LAN e o roteador Firewall com subredes Máquinas da rede interna são alocadas em diferentes subredes 2 Firewalls com subredes Separação de tarefas por 2 firewalls 24/35
Estratégia: Local 25/35
Estratégia: Local 25/35
Estratégia: Local 25/35
Estratégia: Roteador/Firewall 26/35
Estratégia: Firewall com 2 interfaces 27/35
Estratégia: Firewall com subredes 28/35
Estratégia: 2 Firewalls com subredes 29/35
Estratégia: Estação bastião Uma estação especial com poucas aplicações em execução, projetada e configurada para resistir a ataques Servidores proxy (SOCKS, HTTP, RTP, etc.) Somente pacotes oriundos e destinados a esta máquina podem passar pelo firewall 30/35
Perímetros de segurança 31/35
Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 31/35
Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 31/35
Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 3 Estações, servidores internos e externos WWW, SMTP, DNS, POP, IMAP, etc. 31/35
Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 3 Estações, servidores internos e externos WWW, SMTP, DNS, POP, IMAP, etc. Como oferecer serviços externos sem que isto resulte em ameaças para a rede interna? 31/35
DMZ Zona desmilitarizada Segmento de rede tratado como zona neutra entre faixas em conflito (rede local e Internet) Local ideal para disponibilizar serviços que podem ser acessados tanto por máquinas da rede local como da rede externa (Internet) Exemplo: DNS, WWW, SMTP Parte-se do pressuposto que as máquinas ali presentes seguem a risca a poĺıtica de segurança e estão sempre com as últimas atualizações de segurança Roda um conjunto mínimo de serviços Principal objetivo Proteger a rede interna contra ataques oriundos dos servidores externos, caso estes sejam comprometidos 32/35
DMZ Zona desmilitarizada 33/35
Replicar serviços pela DMZ e rede local Replicar serviços pela rede local e DMZ garante que se o servidor na DMZ for comprometido, isto não irá afetar os usuários da rede local Exemplo: Servidor de DNS apontando para máquinas maliciosas 34/35
Material para conscientização sobre segurança Cartilha de Segurança para Internet http://cartilha.cert.br Site Antispam.br http://antispam.br Portal InternetSegura.br http://internetsegura.br 35/35