Implatação de Sistemas de Segurança com Linux
Upcoming SlideShare
Loading in...5
×
 

Implatação de Sistemas de Segurança com Linux

on

  • 690 views

 

Statistics

Views

Total Views
690
Views on SlideShare
690
Embed Views
0

Actions

Likes
0
Downloads
16
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Implatação de Sistemas de Segurança com Linux Implatação de Sistemas de Segurança com Linux Presentation Transcript

  • LSI TEC (c) 2000 1 Implantação de Sistemas de Segurança com Linux Volnys Borges Bernal Frank Meylan Adilson Guelfi Matteo Nava {volnys,meylan,guelfi,ilnava}@lsi.usp.brNúcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP http://www.lsi.usp.br/~nsrav
  • LSI TEC (c) 2000 2Agendao Configuração Segura Linuxo Linux em Ambiente Corporativoo Sistemas de segurança Baseados em Linux
  • LSI TEC (c) 2000 3Configuração Segura Linux
  • LSI TEC (c) 2000 4Configuração Segura Linuxo A maior parte das distribuições Linux utiliza uma instalação default que não é ideal para ser utilizada em um ambiente corporativoo Em um ambiente corporativo geralmente é necessário um sistema operacional seguro
  • LSI TEC (c) 2000 5Configuração Segura Linuxo Segurança no boot X Senhas BIOS X Segurança Física X Senha LILO + proteção do arquivo X Modo single-user seguro
  • LSI TEC (c) 2000 6 Configuração Segura Linux(1) Habilitar senha no monitor X Objetivo: êEvita que usuários digitem linhas de comando no monitor para, por exemplo: u realizar o boot de um outro dispositivo u realizar o boot no modo single-user (perigoso se não requisitar a senha do administrador) u mudar seqüência de boot (arquiteturas PC) X Restrições êArquiteturas PC: algumas BIOS possuem uma senha mestre que geralmente são conhecidas pela equipe de manutenção e “hackers” êÉ também possível apagar a senha realizando curtocircuito em determinados terminais da flash-ROM
  • LSI TEC (c) 2000 7Configuração Segura Linux(2) Segurança física X Objetivo êImpedir que a flash-ROM seja apagada, eliminando a senha do monitor. êImpedir que um disco seja roubado. X Restrições êImportante nos servidores que possuam informações sensíveis X Como proceder êRestrição de acesso físico à sala êRestrição física de acesso ao interior do equipamento
  • LSI TEC (c) 2000 8Configuração Segura Linux(3) Configuração do dispositivo de boot default X Objetivo êImpedir que seja realizado o boot por um dispositivo removível X Como proceder êEm arquiteturas PC, a lista de dispositivos a serem testados para carga do programa de boot deve incluir somente o dispositivo associado à partição raiz. Nunca incluir na lista dispositivos removíveis
  • LSI TEC (c) 2000 9Configuração Segura Linux(4) Modo single-user seguro X Objetivo êRequisitar a senha do administrador quando entra em modo single-user X Como configurar no Linux RedHat ou debian êDeve existir a seguinte linha no arquivo /etc/inittab: u su:S:wait:/sbin/sulogin
  • LSI TEC (c) 2000 10Configuração Segura Linux(5) Habilitar modo seguro do LILO (Linux RedHat / Debian) X Objetivo êEvitar que o usuário possa modificar parâmetros de carga (boot) do linux através do LILO. êPara isto é necessário informar uma senha. X Como proceder êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf: u restricted u password = <senha> êModificar a permissão do arquivo /etc/lilo.conf para leitura e escrita somente pelo root
  • LSI TEC (c) 2000 11Configuração Linux Segurao Opções de operação do kernel X Disponíveis em /proc/sys/net/ipv4 êicmp_echo_ignore_all (desabilitar se não for necessário) êicmp_echo_ignore_broadcast (desabilitar) êip_forward (desabilitar se não for necessário) êip_masq_debug (habilitar) êtcp_syncookies (habilitar) êrp_filter (habilitar) êsecure_redirects (habilitar) êlog_martians (habilitar) êaccept_source_route (desabilitar)
  • LSI TEC (c) 2000 12Configuração Linux Segurao Segurança de senhas X Habilitar Shadow êColocação das senhas em arquivo protegido (/etc/shadow) X Habilitar Aging êForçar mudança periódica das senhas pelos usuários
  • LSI TEC (c) 2000 13Configuração Segura Linuxo Configuração dos serviços de rede X Somente os serviços de rede estritamente necessários X Desabilitar os processos não necessários X Estes processos podem ser disparados êAtravés de script u Scripts em /etc/rc.d/init?.d u chkconfig - utilitário para habilitar/ desabilitar serviços êAtravés do daemon inetd u Arquivo de configuração: /etc/inetd.conf
  • LSI TEC (c) 2000 14Configuração Segura Linuxo Configuração dos serviços de rede (cont.) X Daemon inetd - Exemplo de arquivo /etc/inetd.confftp stream tcp nowait root /bin/ftpd ftpdtelnet stream tcp nowait root /bin/telnetd telnetdlogin stream tcp nowait root /sbin/rlogind rlogindshell stream tcp nowait root /bin/rshd rshdcfinger stream tcp nowait guest /bin/fingerd fingerd#bootp dgram udp wait root /sbin/bootpd bootpd -fpop-2 stream tcp nowait root /sbin/ipop2d ipop2dpop-3 stream tcp nowait root /sbin/ipop3d ipop3dtime stream tcp nowait root internaltime dgram udp wait root internalrusersd dgram rpc/usd wait root /bin/rusersd rusersd
  • LSI TEC (c) 2000 15 Daemon inetd (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas portas necessárias (3) Aguarda conexões inetd open passivo 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpdtelnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetdlogin stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  • LSI TEC (c) 2000 16 Daemon inetd (4) Recebimento de um pedido de conexão na porta 23 (telnet) inetd 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpdtelnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetdlogin stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  • LSI TEC (c) 2000 17 Daemon inetd (5) Inetd dispara daemon associado (telnetd) telnetd inetd open passivo 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root /usr/sbin/ftpd ftpdtelnet stream tcp nowait root /usr/sbin/telnetd telnetdlogin stream tcp nowait root /usr/sbin/rlogind rlogind
  • LSI TEC (c) 2000 18Configuração Segura Linuxo Configurar TCP Wrappers X Serviço de controle de acesso a serviços Internet: êTambém chamado de “tcp_log” êPermite restringir e monitorar (via syslog) requisições para serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros X Funcionalidades êLog u As conexões são monitoradas através do syslog. êControle de acesso u Configurado através dos arquivos: Õ/etc/hosts.allow Õ/etc/hosts.deny
  • LSI TEC (c) 2000 19Configuração Segura Linuxo Configurar TCP Wrappers (cont.) X Exemplo de configuração: ê/etc/hosts.allow u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0 u ftpd: ALL EXCEPT PARANOID ê/etc/hosts.deny u ALL: ALL
  • LSI TEC (c) 2000 20Configuração Segura Linuxo Utilizar SSH em substituição ao telnet/ftp X Instalar OpenSSHo Configuração correta de hora/data X Utilizar protocolos de sincronização de relógio: êntpdate / xntpo Configurar terminais seguros X /etc/securettyo Customizar serviço de log X /etc/syslog.conf X direcionar uma cópia para o servidor central de log
  • LSI TEC (c) 2000 21Configuração Linux Segurao Habilitar sudo X Permite que um determinado utilitário seja executado com privilégio de administrador X Realiza log das atividadeso Instalar e configurar Tripwire X Detecção de intrusão de hosto Segurança X-windows X Habilitar X-windows somente se for necessário
  • LSI TEC (c) 2000 22Configuração Linux Segurao Bastile Linux Project X Script de auxílio na configuração de um sistema LINUX seguro X www.bastile-linux.org
  • LSI TEC (c) 2000 23Linux em Ambiente Corporativo
  • LSI TEC (c) 2000 24Linux em Ambiente Corporativoo Pode ser utilizado para várias finalidades distintas: (1) Como desktop para usuários (2) Como servidor êServidores para Intranet êServidores para Internet êServidor Gateway (3) Como plataforma para auditoria e análise de segurança (4) Como plataforma de desenvolvimento (5) Outros
  • LSI TEC (c) 2000 25Linux em Ambiente Corporativoo (1) Como desktop para os usuários X Linux em substituição aos sistemas Windows9x nos desktops X Vantagens êSistema operacional seguro u Classes distintas de usuários ÕAdministrador / Usuário Normal u Criação de LOGs para auditoria êCusto X Desvantagem êExistem ainda algumas tarefas que não podem ser realizadas em ambiente gráfico êTreinamento de usuários
  • LSI TEC (c) 2000 26Linux em Ambiente Corporativo Internet DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  • LSI TEC (c) 2000 27 Linux em Ambiente Corporativo Internet Roteamento Filtros NAT/Masquerade DMZ Proxy reverso VPN DMZ IntranetEndereçamento Endereçamento Privado Privado
  • LSI TEC (c) 2000 28Linux em Ambiente Corporativoo (2) Linux como Servidor X Servidores para Intranet êServidor de arquivos u NFS (UNIX), SAMBA (MS-Windows) êServidor WEB para a Intranet u Apache, Netscape êServidor DNS para a Intranet u BIND êServidor de Log u Syslog (nativo) êOutros serviços (Ex. Banco de Dados)
  • LSI TEC (c) 2000 29Linux em Ambiente Corporativoo (2) Linux como Servidor (cont.) X Servidores para DMZ êServidor DNS u BIND êServidor WEB u Apache, Netscape êServidor PROXY u Squid êServidor E-MAIL u sendmail u qmail
  • LSI TEC (c) 2000 30Linux em Ambiente Corporativoo (2) Linux como Servidor (cont.) X Servidores Gateways êRoteamento êFiltro de pacotes êNAT / Masquerade êTransparent Proxy êProxy Reverso êVPN êTambém possível alguns firewalls comerciais
  • LSI TEC (c) 2000 31Linux em Ambiente Corporativo X Servidores Gateways (cont.) êVantagens u Desempenho u Suporte a Hardware ÕFlexibilidade (comparado a outros UNIX) ÕCusto (comparado a outros UNIX) ÕAtualização u Suporte para diversos protocolos ÕEthernet/FastEthernet/GigabitEthernet ÕISDN / X25 / X21 ÕIPv4, IPX, IPv6 u Suporte a ÕIP-Chains (filtros, NAT, masquerade) u Custo do software
  • LSI TEC (c) 2000 32Linux em Ambiente Corporativoo (3) Como plataforma para Auditoria e Análise de segurança X Linux para a equipe de segurança / auditoria X Ferramentas: êAnalisadores de vulnerabilidades u Nessus êDetetores de intrusão de rede u Snort
  • LSI TEC (c) 2000 33Sistemas de segurança para Linux
  • LSI TEC (c) 2000 34Sistemas de segurança para Linuxo Codificação de senhas com MD5 X Permite utilização de senhas com até 256 caracteres X Utiliza codificação hash MD5o John The Ripper X Avaliador de senhas vulneráveis X Permite detectar senhas “fracas” no sistema X www.openwall.com/johno Crack X Avaliador de senhas vulneráveis
  • LSI TEC (c) 2000 35Sistemas de segurança para Linuxo Tripwire X Detector de intrusão, baseado em host X Versão comercial: www.tripwire.com X Versão livre: www.tripwire.orgo AIDE X Detector de intrusão, baseado em host êwww.cs.tut.fi/~rammer/aide.html
  • LSI TEC (c) 2000 36Sistemas de segurança para Linuxo OpenSSH X Implementação livre do protocolo SSH (Secure Shell) X SSH1 / SSH2: Padrão Internet X “Telnet” criptografado e autenticado X “FTP” criptografado e autenticado X Canais X-windows criptografados e autenticados X www.openssh.como S/Key X One Time Password X Implementação em software
  • LSI TEC (c) 2000 37Sistemas de segurança para Linuxo SQUID X Servidor PROXY X Permite definir ACL êControle de acesso a páginas pelos usuários êFiltros por URL X LOG de acessos X Squid Web Proxy Cache êwwww.squid-cache.org
  • LSI TEC (c) 2000 38Sistemas de segurança para Linuxo NAT x ProxyReverso (xinetd) Servidor Proxy xinetd Reverso TCP TCP UDP UDP TCP UDP TCP UDPΝΑΤ ICMP IGMP ICMP IGMP ICMP IGMP ICMP IGMP IP IP IP IP ARP RARP ARP RARP ARP RARP ARP RARP Ethernet Ethernet Ethernet Ethernet
  • LSI TEC (c) 2000 39Sistemas de segurança para Linux Internet Filtros DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  • LSI TEC (c) 2000 40Sistemas de segurança para Linux Internet Masquerade (troca de endereços N-1) DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  • LSI TEC (c) 2000 41Sistemas de segurança para Linux Internet Proxy DMZ Reverso Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  • LSI TEC (c) 2000 42Sistemas de segurança para Linuxo xinetd X Proxy Reverso X Permite uma conexão de uma porta para uma outra porta em um outro hosto IPChains / IPMasqadm X Permite configurar opções do kernel para: êFiltros de pacotes êNAT - Network Address Translation êMasqueradeo Problemas X Log no masquerade (muito log) X Log nos servidores (a identificação da máquina origem é da sua máquina gateway)
  • LSI TEC (c) 2000 43Sistemas de segurança para Linuxo NMAP X Scanner de IP e Portas X www.insecure.org/nmapo SAINT X Analisador de vulnerabilidade (network based)o NESSUS X Scanner de IP e Portas X Analisador de vulnerabilidade (network based)
  • LSI TEC (c) 2000 44Sistemas de segurança para Linuxo SHADOW X Detector de intrusão (network based) X The SANS Instituteo SNORT X Detector de intrusão (network based) X www.snort.org
  • LSI TEC (c) 2000 45Sistemas de segurança para Linuxo Firewalls Comerciais X Firewall-1 êwwww.checkpoint.com X Aker Firewall êwwww.aker.com.br X Phoenix Adaptive Firewall êwww.progressive-systems.com
  • LSI TEC (c) 2000 46Sistemas de segurança para Linuxo Kerberos X Sistemas de Autenticação e Confidencialidadeo Free Secure WAN X Virtural Private Network X Canal seguro para interligação de redes X Implementa IPSEC X VPN de êhost êrede
  • LSI TEC (c) 2000 47Sistemas de segurança para Linuxo Servidor Central de Log X Objetivo êMáquina confiável que centralize o log de todas as máquinas do sistema X Como configurar êRealizar a configuração segura Linux êDesabilitar todos os servicos de rede êPermitir acesso somente pelo administrador via console
  • LSI TEC (c) 2000 48 Obrigado NSRAVNúcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP volnys@lsi.usp.br meylan@lsi.usp.br