O documento apresenta a técnica de Single Packet Authorization (SPA) como uma solução para aumentar a segurança no protocolo SSH. A SPA corrige problemas do Port Knocking, permitindo o acesso SSH com apenas um pacote criptografado e evitando ataques de replay. O software FWKNOP implementa a SPA e permite configurar regras temporárias no firewall para autorizar o acesso do cliente que enviou o pacote SPA.
2. Quem é esse cara ai...?
● Graduado em Redes de
Computadores (Antigo CEFETPB)
● PósGraduando em Segurança da
Informação (Faculdade iDEZ)
● Analista de Segurança da
Informação (Secretaria de
Estado da Receita – PB)
● Membro da Comunidade TCOS
Brasil
3. AGENDA
● SSH
● Firewall
● Port Knocking
● Single Packet Authorization
● FWKNOP
● Prática
● Perguntas
11. ● Port Knocking
● Literalmente, “batendo porta”
● A técnica é construída sob uma
sequência de pacotes pré
determinados
● Se a sequência estiver errada,
nada(acesso SSH) será liberado
● Utiliza os campos reservados para
as portas TCP/UDP
● Não utiliza criptografia
15. Por algum motivo, os pacotes
podem chegar fora de ordem, o que
inviabiliza a solução
Um atacante pode ficar “enviando”
pacotes para portas aleatórias,
quebrando assim a sequência knock
de um cliente legítimo
Susceptível a ataques de Replay
18. É uma técnica baseada no Port Knocking
O SPA herda os pontos fortes e
corrige as principais falhas do Port
Knocking
A aplicação que implementa o SPA é o
FWKNOP (FireWall KNock OPerator)
O FWKNOP é um Software Livre mantido
por Michael Rash
http://cipherdyne.org/fwknop/
19. Apenas um pacote é enviado
Corrigindo o problema da entrega
fora de ordem
Utiliza a parte de dados do pacote
Corrigindo o problema da
criptografia
Cria uma regra temporária no firewall,
permitindo o acesso apenas do cliente
Não existe a possibilidade de utilizar o
mesmo pacote num intervalo de tempo pré
determinado (default 60s)
Correção de ataques de Replay
20. Possibilidade de cifrar pacotes com
chaves
Simétricas (Rijndael)
Assimétricas (GPG + ElGamal)
Faz a decifragem dos pacotes para a
verificação
IP do pacote com o IP contido na
área cifrada
Adição de um bloco de conteúdo
randômico gerado para cada pacote,
permitindo assim a criptografia única