0
Single Packet Authorization
Aumentando a segurança no SSH
                                              Leandro Almeida
  ...
Quem é esse cara ai...?
    ●   Graduado em Redes de 
        Computadores (Antigo CEFETPB)
    ●   Pós­Graduando em Segur...
AGENDA
    ●   SSH
    ●   Firewall
    ●   Port Knocking
    ●   Single Packet Authorization
    ●   FWKNOP
    ●   Práti...
Quem aqui usa SSH?

              
Você acha o SSH seguro?

                
●   CERT® Advisory CA­2002­18 OpenSSH 
        Vulnerabilities in Challenge Response Handling
    ●   USN­649­1: OpenSSH v...
Vem sempre alguém e diz... se 
      não esta seguro coloca um 
              FIREWALL




                   
Pesquise/Projete uma solução 
        para o seu problema
                  
Senão um atacante pode obter 
              sucesso!
                  
Eis que surge uma luz no 
          fim do túnel



                 
●   Port Knocking
        ●   Literalmente, “batendo porta”
        ●   A técnica é construída sob uma 
            sequên...
1º Momento: AZUL
2º Momento: Vermelho
3º Momento: Verde
                    
Problemas...
          
A criptografia não pode 
         ser utilizada
                
Por algum motivo, os pacotes 
    podem chegar fora de ordem, o que 
    inviabiliza a solução
    Um atacante pode ficar ...
E agora? quem poderá 
       nos salvar...




               
Single Packet Authorization




                 
É uma técnica baseada no Port Knocking
    O SPA herda os pontos fortes  e 
    corrige as principais falhas do Port 
    ...
Apenas um pacote é enviado
          Corrigindo o problema da entrega 
            fora de ordem
    Utiliza a parte de da...
Possibilidade de cifrar pacotes com 
    chaves
       Simétricas (Rijndael)
       Assimétricas (GPG + ElGamal)
    Faz a...
Pacote SPA




         
Cenário para os testes




               
1º Momento: Sem SPA

              
2º Momento: Com SPA

              
Acesso SSH Liberado o/

                
     
     
Obrigado!
    Leandro Almeida
    Blog:leandro­cavalcanti.blogspot.com
    Email:lcavalcanti.almeida@gmail.com




       ...
Referências
    ●   http://www.cipherdyne.org/fwknop/
    ●   http://www.linuxjournal.com/article
        /9565
    ●   ht...
Upcoming SlideShare
Loading in...5
×

Single Packet Authorization

2,234

Published on

Palestra apresentada no III ENSOL

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,234
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Single Packet Authorization"

  1. 1. Single Packet Authorization Aumentando a segurança no SSH Leandro Almeida lcavalcanti.almeida@gmail.com     III ENSOL Liberdade no Extremo João Pessoa­PB 19,20 e 21 de Junho de 2009
  2. 2. Quem é esse cara ai...? ● Graduado em Redes de  Computadores (Antigo CEFETPB) ● Pós­Graduando em Segurança da  Informação (Faculdade iDEZ) ● Analista de Segurança da  Informação (Secretaria de  Estado da Receita – PB) ● Membro da Comunidade TCOS  Brasil    
  3. 3. AGENDA ● SSH ● Firewall ● Port Knocking ● Single Packet Authorization ● FWKNOP ● Prática ● Perguntas    
  4. 4. Quem aqui usa SSH?    
  5. 5. Você acha o SSH seguro?    
  6. 6. ● CERT® Advisory CA­2002­18 OpenSSH  Vulnerabilities in Challenge Response Handling ● USN­649­1: OpenSSH vulnerabilities ● OpenSSH Security Advisory: cbc.adv ­ Plaintext  Recovery Attack Against SSH CPNI­957037 ● CPNI Vulnerability Advisory SSH – CPNI­957037 ● openssh vulnerability CVE­2008­0166,  http://www.ubuntu.com/usn/usn­612­1   ● O ssh é uma “implementação” do protocolo, e têm    falhas
  7. 7. Vem sempre alguém e diz... se  não esta seguro coloca um  FIREWALL    
  8. 8. Pesquise/Projete uma solução  para o seu problema    
  9. 9. Senão um atacante pode obter  sucesso!    
  10. 10. Eis que surge uma luz no  fim do túnel    
  11. 11. ● Port Knocking ● Literalmente, “batendo porta” ● A técnica é construída sob uma  sequência de pacotes pré­ determinados ● Se a sequência estiver errada,  nada(acesso SSH) será liberado ● Utiliza os campos reservados para  as portas TCP/UDP ●  Não utiliza criptografia    
  12. 12. 1º Momento: AZUL 2º Momento: Vermelho 3º Momento: Verde    
  13. 13. Problemas...    
  14. 14. A criptografia não pode  ser utilizada    
  15. 15. Por algum motivo, os pacotes  podem chegar fora de ordem, o que  inviabiliza a solução Um atacante pode ficar “enviando”  pacotes para portas aleatórias,  quebrando assim a sequência knock  de um cliente legítimo Susceptível a ataques de Replay    
  16. 16. E agora? quem poderá  nos salvar...    
  17. 17. Single Packet Authorization    
  18. 18. É uma técnica baseada no Port Knocking O SPA herda os pontos fortes  e  corrige as principais falhas do Port  Knocking A aplicação que implementa o SPA é o  FWKNOP (FireWall KNock OPerator)  O FWKNOP é um Software Livre mantido  por Michael Rash http://cipherdyne.org/fwknop/    
  19. 19. Apenas um pacote é enviado Corrigindo o problema da entrega  fora de ordem Utiliza a parte de dados do pacote Corrigindo o problema da  criptografia Cria uma regra temporária no firewall,  permitindo o acesso apenas do cliente Não existe a possibilidade de utilizar o  mesmo pacote num intervalo de tempo pré­ determinado (default 60s)  Correção de ataques de Replay    
  20. 20. Possibilidade de cifrar pacotes com  chaves Simétricas (Rijndael) Assimétricas (GPG + ElGamal) Faz a decifragem dos pacotes para a  verificação IP  do  pacote  com  o  IP  contido  na  área cifrada Adição  de  um  bloco  de  conteúdo  randômico  gerado  para  cada  pacote,  permitindo assim a criptografia única     
  21. 21. Pacote SPA    
  22. 22. Cenário para os testes    
  23. 23. 1º Momento: Sem SPA    
  24. 24. 2º Momento: Com SPA    
  25. 25. Acesso SSH Liberado o/    
  26. 26.    
  27. 27.    
  28. 28. Obrigado! Leandro Almeida Blog:leandro­cavalcanti.blogspot.com Email:lcavalcanti.almeida@gmail.com    
  29. 29. Referências ● http://www.cipherdyne.org/fwknop/ ● http://www.linuxjournal.com/article /9565 ● http://www.linux.com/archive/featur e/135100 ● http://www.jsena.info/downloads/pal estras/JansenSena_FISL9_Single_Pack et_Authorization.pdf ●    
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×