Single Packet Authorization
Aumentando a segurança no SSH
Leandro Almeida
lcavalcanti.almeida@gmail.com
III ENSOL Liberdade no Extremo
João Pessoa­PB 19,20 e 21 de Junho de 2009

Quem é esse cara ai...?
● Graduado em Redes de
Computadores (Antigo CEFETPB)
● Pós­Graduando em Segurança da
Informação (Faculdade iDEZ)
● Analista de Segurança da
Informação (Secretaria de
Estado da Receita – PB)
● Membro da Comunidade TCOS
Brasil

AGENDA
● SSH
● Firewall
● Port Knocking
● Single Packet Authorization
● FWKNOP
● Prática
● Perguntas

Quem aqui usa SSH?

Você acha o SSH seguro?

● CERT® Advisory CA­2002­18 OpenSSH
Vulnerabilities in Challenge Response Handling
● USN­649­1: OpenSSH vulnerabilities
● OpenSSH Security Advisory: cbc.adv ­ Plaintext
Recovery Attack Against SSH CPNI­957037
● CPNI Vulnerability Advisory SSH – CPNI­957037
● openssh vulnerability CVE­2008­0166,
http://www.ubuntu.com/usn/usn­612­1
● O ssh é uma “implementação” do protocolo, e têm
falhas

Vem sempre alguém e diz... se
não esta seguro coloca um
FIREWALL

Pesquise/Projete uma solução
para o seu problema

Senão um atacante pode obter
sucesso!

Eis que surge uma luz no
fim do túnel

● Port Knocking
● Literalmente, “batendo porta”
● A técnica é construída sob uma
sequência de pacotes pré­
determinados
● Se a sequência estiver errada,
nada(acesso SSH) será liberado
● Utiliza os campos reservados para
as portas TCP/UDP
● Não utiliza criptografia

1º Momento: AZUL
2º Momento: Vermelho
3º Momento: Verde

Problemas...

A criptografia não pode
ser utilizada

Por algum motivo, os pacotes
podem chegar fora de ordem, o que
inviabiliza a solução
Um atacante pode ficar “enviando”
pacotes para portas aleatórias,
quebrando assim a sequência knock
de um cliente legítimo
Susceptível a ataques de Replay

E agora? quem poderá
nos salvar...

Single Packet Authorization

É uma técnica baseada no Port Knocking
O SPA herda os pontos fortes e
corrige as principais falhas do Port
Knocking
A aplicação que implementa o SPA é o
FWKNOP (FireWall KNock OPerator)
O FWKNOP é um Software Livre mantido
por Michael Rash
http://cipherdyne.org/fwknop/

Apenas um pacote é enviado
Corrigindo o problema da entrega
fora de ordem
Utiliza a parte de dados do pacote
Corrigindo o problema da
criptografia
Cria uma regra temporária no firewall,
permitindo o acesso apenas do cliente
Não existe a possibilidade de utilizar o
mesmo pacote num intervalo de tempo pré­
determinado (default 60s)
Correção de ataques de Replay

Possibilidade de cifrar pacotes com
chaves
Simétricas (Rijndael)
Assimétricas (GPG + ElGamal)
Faz a decifragem dos pacotes para a
verificação
IP do pacote com o IP contido na
área cifrada
Adição de um bloco de conteúdo
randômico gerado para cada pacote,
permitindo assim a criptografia única

Pacote SPA

Cenário para os testes

1º Momento: Sem SPA

2º Momento: Com SPA

Acesso SSH Liberado o/

Obrigado!
Leandro Almeida
Blog:leandro­cavalcanti.blogspot.com
Email:lcavalcanti.almeida@gmail.com

Referências
● http://www.cipherdyne.org/fwknop/
● http://www.linuxjournal.com/article
/9565
● http://www.linux.com/archive/featur
e/135100
● http://www.jsena.info/downloads/pal
estras/JansenSena_FISL9_Single_Pack
et_Authorization.pdf
●