Single Packet Authorization

Single Packet Authorization Aumentando a segurança no SSH Leandro Almeida lcavalcanti.almeida@gmail.com III ENSOL Liberdade no Extremo João PessoaPB 19,20 e 21 de Junho de 2009

Quem é esse cara ai...? ● Graduado em Redes de Computadores (Antigo CEFETPB) ● PósGraduando em Segurança da Informação (Faculdade iDEZ) ● Analista de Segurança da Informação (Secretaria de Estado da Receita – PB) ● Membro da Comunidade TCOS Brasil

AGENDA ● SSH ● Firewall ● Port Knocking ● Single Packet Authorization ● FWKNOP ● Prática ● Perguntas

Quem aqui usa SSH?

Você acha o SSH seguro?

● CERT® Advisory CA200218 OpenSSH Vulnerabilities in Challenge Response Handling ● USN6491: OpenSSH vulnerabilities ● OpenSSH Security Advisory: cbc.adv Plaintext Recovery Attack Against SSH CPNI957037 ● CPNI Vulnerability Advisory SSH – CPNI957037 ● openssh vulnerability CVE20080166, http://www.ubuntu.com/usn/usn6121 ● O ssh é uma “implementação” do protocolo, e têm falhas

Vem sempre alguém e diz... se não esta seguro coloca um FIREWALL

Pesquise/Projete uma solução para o seu problema

Senão um atacante pode obter sucesso!

Eis que surge uma luz no fim do túnel

● Port Knocking ● Literalmente, “batendo porta” ● A técnica é construída sob uma sequência de pacotes pré determinados ● Se a sequência estiver errada, nada(acesso SSH) será liberado ● Utiliza os campos reservados para as portas TCP/UDP ● Não utiliza criptografia

1º Momento: AZUL 2º Momento: Vermelho 3º Momento: Verde

Problemas...

A criptografia não pode ser utilizada

Por algum motivo, os pacotes podem chegar fora de ordem, o que inviabiliza a solução Um atacante pode ficar “enviando” pacotes para portas aleatórias, quebrando assim a sequência knock de um cliente legítimo Susceptível a ataques de Replay

E agora? quem poderá nos salvar...

Single Packet Authorization

É uma técnica baseada no Port Knocking O SPA herda os pontos fortes e corrige as principais falhas do Port Knocking A aplicação que implementa o SPA é o FWKNOP (FireWall KNock OPerator) O FWKNOP é um Software Livre mantido por Michael Rash http://cipherdyne.org/fwknop/

Apenas um pacote é enviado Corrigindo o problema da entrega fora de ordem Utiliza a parte de dados do pacote Corrigindo o problema da criptografia Cria uma regra temporária no firewall, permitindo o acesso apenas do cliente Não existe a possibilidade de utilizar o mesmo pacote num intervalo de tempo pré determinado (default 60s) Correção de ataques de Replay

Possibilidade de cifrar pacotes com chaves Simétricas (Rijndael) Assimétricas (GPG + ElGamal) Faz a decifragem dos pacotes para a verificação IP do pacote com o IP contido na área cifrada Adição de um bloco de conteúdo randômico gerado para cada pacote, permitindo assim a criptografia única

Pacote SPA

Cenário para os testes

1º Momento: Sem SPA

2º Momento: Com SPA

Acesso SSH Liberado o/

Obrigado! Leandro Almeida Blog:leandrocavalcanti.blogspot.com Email:lcavalcanti.almeida@gmail.com

Referências ● http://www.cipherdyne.org/fwknop/ ● http://www.linuxjournal.com/article /9565 ● http://www.linux.com/archive/featur e/135100 ● http://www.jsena.info/downloads/pal estras/JansenSena_FISL9_Single_Pack et_Authorization.pdf ●

http://leandro-cavalcanti.blogspot.com	307
http://blog.aeciopires.com	269
http://leandro-cavalcanti.blogspot.com.br	91
http://webcache.googleusercontent.com	3

Single Packet Authorization

by Leandro Almeida on Jun 19, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 670

Statistics

Single Packet Authorization — Presentation Transcript