Single Packet Authorization
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Single Packet Authorization

  • 2,809 views
Uploaded on

Palestra apresentada no III ENSOL

Palestra apresentada no III ENSOL

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,809
On Slideshare
1,507
From Embeds
1,302
Number of Embeds
8

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 1,302

http://blog.aeciopires.com 598
http://leandro-cavalcanti.blogspot.com.br 381
http://leandro-cavalcanti.blogspot.com 315
http://webcache.googleusercontent.com 3
http://leandro-cavalcanti.blogspot.de 2
http://leandro-cavalcanti.blogspot.pt 1
http://www.leandro-cavalcanti.blogspot.com 1
http://leandro-cavalcanti.blogspot.fi 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Single Packet Authorization Aumentando a segurança no SSH Leandro Almeida lcavalcanti.almeida@gmail.com     III ENSOL Liberdade no Extremo João Pessoa­PB 19,20 e 21 de Junho de 2009
  • 2. Quem é esse cara ai...? ● Graduado em Redes de  Computadores (Antigo CEFETPB) ● Pós­Graduando em Segurança da  Informação (Faculdade iDEZ) ● Analista de Segurança da  Informação (Secretaria de  Estado da Receita – PB) ● Membro da Comunidade TCOS  Brasil    
  • 3. AGENDA ● SSH ● Firewall ● Port Knocking ● Single Packet Authorization ● FWKNOP ● Prática ● Perguntas    
  • 4. Quem aqui usa SSH?    
  • 5. Você acha o SSH seguro?    
  • 6. ● CERT® Advisory CA­2002­18 OpenSSH  Vulnerabilities in Challenge Response Handling ● USN­649­1: OpenSSH vulnerabilities ● OpenSSH Security Advisory: cbc.adv ­ Plaintext  Recovery Attack Against SSH CPNI­957037 ● CPNI Vulnerability Advisory SSH – CPNI­957037 ● openssh vulnerability CVE­2008­0166,  http://www.ubuntu.com/usn/usn­612­1   ● O ssh é uma “implementação” do protocolo, e têm    falhas
  • 7. Vem sempre alguém e diz... se  não esta seguro coloca um  FIREWALL    
  • 8. Pesquise/Projete uma solução  para o seu problema    
  • 9. Senão um atacante pode obter  sucesso!    
  • 10. Eis que surge uma luz no  fim do túnel    
  • 11. ● Port Knocking ● Literalmente, “batendo porta” ● A técnica é construída sob uma  sequência de pacotes pré­ determinados ● Se a sequência estiver errada,  nada(acesso SSH) será liberado ● Utiliza os campos reservados para  as portas TCP/UDP ●  Não utiliza criptografia    
  • 12. 1º Momento: AZUL 2º Momento: Vermelho 3º Momento: Verde    
  • 13. Problemas...    
  • 14. A criptografia não pode  ser utilizada    
  • 15. Por algum motivo, os pacotes  podem chegar fora de ordem, o que  inviabiliza a solução Um atacante pode ficar “enviando”  pacotes para portas aleatórias,  quebrando assim a sequência knock  de um cliente legítimo Susceptível a ataques de Replay    
  • 16. E agora? quem poderá  nos salvar...    
  • 17. Single Packet Authorization    
  • 18. É uma técnica baseada no Port Knocking O SPA herda os pontos fortes  e  corrige as principais falhas do Port  Knocking A aplicação que implementa o SPA é o  FWKNOP (FireWall KNock OPerator)  O FWKNOP é um Software Livre mantido  por Michael Rash http://cipherdyne.org/fwknop/    
  • 19. Apenas um pacote é enviado Corrigindo o problema da entrega  fora de ordem Utiliza a parte de dados do pacote Corrigindo o problema da  criptografia Cria uma regra temporária no firewall,  permitindo o acesso apenas do cliente Não existe a possibilidade de utilizar o  mesmo pacote num intervalo de tempo pré­ determinado (default 60s)  Correção de ataques de Replay    
  • 20. Possibilidade de cifrar pacotes com  chaves Simétricas (Rijndael) Assimétricas (GPG + ElGamal) Faz a decifragem dos pacotes para a  verificação IP  do  pacote  com  o  IP  contido  na  área cifrada Adição  de  um  bloco  de  conteúdo  randômico  gerado  para  cada  pacote,  permitindo assim a criptografia única     
  • 21. Pacote SPA    
  • 22. Cenário para os testes    
  • 23. 1º Momento: Sem SPA    
  • 24. 2º Momento: Com SPA    
  • 25. Acesso SSH Liberado o/    
  • 26.    
  • 27.    
  • 28. Obrigado! Leandro Almeida Blog:leandro­cavalcanti.blogspot.com Email:lcavalcanti.almeida@gmail.com    
  • 29. Referências ● http://www.cipherdyne.org/fwknop/ ● http://www.linuxjournal.com/article /9565 ● http://www.linux.com/archive/featur e/135100 ● http://www.jsena.info/downloads/pal estras/JansenSena_FISL9_Single_Pack et_Authorization.pdf ●