O documento apresenta a técnica de Single Packet Authorization (SPA) como uma solução para aumentar a segurança no protocolo SSH. A SPA corrige problemas do Port Knocking, permitindo o acesso SSH com apenas um pacote criptografado e evitando ataques de replay. O software FWKNOP implementa a SPA e permite configurar regras temporárias no firewall para autorizar o acesso do cliente que enviou o pacote SPA.

1. Single Packet Authorization
Aumentando a segurança no SSH
Leandro Almeida
lcavalcanti.almeida@gmail.com
III ENSOL Liberdade no Extremo
João Pessoa­PB 19,20 e 21 de Junho de 2009

2. Quem é esse cara ai...?
● Graduado em Redes de
Computadores (Antigo CEFETPB)
● Pós­Graduando em Segurança da
Informação (Faculdade iDEZ)
● Analista de Segurança da
Informação (Secretaria de
Estado da Receita – PB)
● Membro da Comunidade TCOS
Brasil

3. AGENDA
● SSH
● Firewall
● Port Knocking
● Single Packet Authorization
● FWKNOP
● Prática
● Perguntas

4. Quem aqui usa SSH?

5. Você acha o SSH seguro?

6. ● CERT® Advisory CA­2002­18 OpenSSH
Vulnerabilities in Challenge Response Handling
● USN­649­1: OpenSSH vulnerabilities
● OpenSSH Security Advisory: cbc.adv ­ Plaintext
Recovery Attack Against SSH CPNI­957037
● CPNI Vulnerability Advisory SSH – CPNI­957037
● openssh vulnerability CVE­2008­0166,
http://www.ubuntu.com/usn/usn­612­1
● O ssh é uma “implementação” do protocolo, e têm
falhas

7. Vem sempre alguém e diz... se
não esta seguro coloca um
FIREWALL

8. Pesquise/Projete uma solução
para o seu problema

9. Senão um atacante pode obter
sucesso!

10. Eis que surge uma luz no
fim do túnel

11. ● Port Knocking
● Literalmente, “batendo porta”
● A técnica é construída sob uma
sequência de pacotes pré­
determinados
● Se a sequência estiver errada,
nada(acesso SSH) será liberado
● Utiliza os campos reservados para
as portas TCP/UDP
● Não utiliza criptografia

12. 1º Momento: AZUL
2º Momento: Vermelho
3º Momento: Verde

13. Problemas...

14. A criptografia não pode
ser utilizada

15. Por algum motivo, os pacotes
podem chegar fora de ordem, o que
inviabiliza a solução
Um atacante pode ficar “enviando”
pacotes para portas aleatórias,
quebrando assim a sequência knock
de um cliente legítimo
Susceptível a ataques de Replay

16. E agora? quem poderá
nos salvar...

17. Single Packet Authorization

18. É uma técnica baseada no Port Knocking
O SPA herda os pontos fortes e
corrige as principais falhas do Port
Knocking
A aplicação que implementa o SPA é o
FWKNOP (FireWall KNock OPerator)
O FWKNOP é um Software Livre mantido
por Michael Rash
http://cipherdyne.org/fwknop/

19. Apenas um pacote é enviado
Corrigindo o problema da entrega
fora de ordem
Utiliza a parte de dados do pacote
Corrigindo o problema da
criptografia
Cria uma regra temporária no firewall,
permitindo o acesso apenas do cliente
Não existe a possibilidade de utilizar o
mesmo pacote num intervalo de tempo pré­
determinado (default 60s)
Correção de ataques de Replay

20. Possibilidade de cifrar pacotes com
chaves
Simétricas (Rijndael)
Assimétricas (GPG + ElGamal)
Faz a decifragem dos pacotes para a
verificação
IP do pacote com o IP contido na
área cifrada
Adição de um bloco de conteúdo
randômico gerado para cada pacote,
permitindo assim a criptografia única

21. Pacote SPA

22. Cenário para os testes

23. 1º Momento: Sem SPA

24. 2º Momento: Com SPA

25. Acesso SSH Liberado o/

28. Obrigado!
Leandro Almeida
Blog:leandro­cavalcanti.blogspot.com
Email:lcavalcanti.almeida@gmail.com

29. Referências
● http://www.cipherdyne.org/fwknop/
● http://www.linuxjournal.com/article
/9565
● http://www.linux.com/archive/featur
e/135100
● http://www.jsena.info/downloads/pal
estras/JansenSena_FISL9_Single_Pack
et_Authorization.pdf
●