Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Single Packet Authorization
Aumentando a segurança no SSH
                                              Leandro Almeida
  ...
Quem é esse cara ai...?
    ●   Graduado em Redes de 
        Computadores (Antigo CEFETPB)
    ●   Pós­Graduando em Segur...
AGENDA
    ●   SSH
    ●   Firewall
    ●   Port Knocking
    ●   Single Packet Authorization
    ●   FWKNOP
    ●   Práti...
Quem aqui usa SSH?

              
Você acha o SSH seguro?

                
●   CERT® Advisory CA­2002­18 OpenSSH 
        Vulnerabilities in Challenge Response Handling
    ●   USN­649­1: OpenSSH v...
Vem sempre alguém e diz... se 
      não esta seguro coloca um 
              FIREWALL




                   
Pesquise/Projete uma solução 
        para o seu problema
                  
Senão um atacante pode obter 
              sucesso!
                  
Eis que surge uma luz no 
          fim do túnel



                 
●   Port Knocking
        ●   Literalmente, “batendo porta”
        ●   A técnica é construída sob uma 
            sequên...
1º Momento: AZUL
2º Momento: Vermelho
3º Momento: Verde
                    
Problemas...
          
A criptografia não pode 
         ser utilizada
                
Por algum motivo, os pacotes 
    podem chegar fora de ordem, o que 
    inviabiliza a solução
    Um atacante pode ficar ...
E agora? quem poderá 
       nos salvar...




               
Single Packet Authorization




                 
É uma técnica baseada no Port Knocking
    O SPA herda os pontos fortes  e 
    corrige as principais falhas do Port 
    ...
Apenas um pacote é enviado
          Corrigindo o problema da entrega 
            fora de ordem
    Utiliza a parte de da...
Possibilidade de cifrar pacotes com 
    chaves
       Simétricas (Rijndael)
       Assimétricas (GPG + ElGamal)
    Faz a...
Pacote SPA




         
Cenário para os testes




               
1º Momento: Sem SPA

              
2º Momento: Com SPA

              
Acesso SSH Liberado o/

                
     
     
Obrigado!
    Leandro Almeida
    Blog:leandro­cavalcanti.blogspot.com
    Email:lcavalcanti.almeida@gmail.com




       ...
Referências
    ●   http://www.cipherdyne.org/fwknop/
    ●   http://www.linuxjournal.com/article
        /9565
    ●   ht...
Upcoming SlideShare
Loading in …5
×

Single Packet Authorization

2,565 views

Published on

Palestra apresentada no III ENSOL

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Single Packet Authorization

  1. 1. Single Packet Authorization Aumentando a segurança no SSH Leandro Almeida lcavalcanti.almeida@gmail.com     III ENSOL Liberdade no Extremo João Pessoa­PB 19,20 e 21 de Junho de 2009
  2. 2. Quem é esse cara ai...? ● Graduado em Redes de  Computadores (Antigo CEFETPB) ● Pós­Graduando em Segurança da  Informação (Faculdade iDEZ) ● Analista de Segurança da  Informação (Secretaria de  Estado da Receita – PB) ● Membro da Comunidade TCOS  Brasil    
  3. 3. AGENDA ● SSH ● Firewall ● Port Knocking ● Single Packet Authorization ● FWKNOP ● Prática ● Perguntas    
  4. 4. Quem aqui usa SSH?    
  5. 5. Você acha o SSH seguro?    
  6. 6. ● CERT® Advisory CA­2002­18 OpenSSH  Vulnerabilities in Challenge Response Handling ● USN­649­1: OpenSSH vulnerabilities ● OpenSSH Security Advisory: cbc.adv ­ Plaintext  Recovery Attack Against SSH CPNI­957037 ● CPNI Vulnerability Advisory SSH – CPNI­957037 ● openssh vulnerability CVE­2008­0166,  http://www.ubuntu.com/usn/usn­612­1   ● O ssh é uma “implementação” do protocolo, e têm    falhas
  7. 7. Vem sempre alguém e diz... se  não esta seguro coloca um  FIREWALL    
  8. 8. Pesquise/Projete uma solução  para o seu problema    
  9. 9. Senão um atacante pode obter  sucesso!    
  10. 10. Eis que surge uma luz no  fim do túnel    
  11. 11. ● Port Knocking ● Literalmente, “batendo porta” ● A técnica é construída sob uma  sequência de pacotes pré­ determinados ● Se a sequência estiver errada,  nada(acesso SSH) será liberado ● Utiliza os campos reservados para  as portas TCP/UDP ●  Não utiliza criptografia    
  12. 12. 1º Momento: AZUL 2º Momento: Vermelho 3º Momento: Verde    
  13. 13. Problemas...    
  14. 14. A criptografia não pode  ser utilizada    
  15. 15. Por algum motivo, os pacotes  podem chegar fora de ordem, o que  inviabiliza a solução Um atacante pode ficar “enviando”  pacotes para portas aleatórias,  quebrando assim a sequência knock  de um cliente legítimo Susceptível a ataques de Replay    
  16. 16. E agora? quem poderá  nos salvar...    
  17. 17. Single Packet Authorization    
  18. 18. É uma técnica baseada no Port Knocking O SPA herda os pontos fortes  e  corrige as principais falhas do Port  Knocking A aplicação que implementa o SPA é o  FWKNOP (FireWall KNock OPerator)  O FWKNOP é um Software Livre mantido  por Michael Rash http://cipherdyne.org/fwknop/    
  19. 19. Apenas um pacote é enviado Corrigindo o problema da entrega  fora de ordem Utiliza a parte de dados do pacote Corrigindo o problema da  criptografia Cria uma regra temporária no firewall,  permitindo o acesso apenas do cliente Não existe a possibilidade de utilizar o  mesmo pacote num intervalo de tempo pré­ determinado (default 60s)  Correção de ataques de Replay    
  20. 20. Possibilidade de cifrar pacotes com  chaves Simétricas (Rijndael) Assimétricas (GPG + ElGamal) Faz a decifragem dos pacotes para a  verificação IP  do  pacote  com  o  IP  contido  na  área cifrada Adição  de  um  bloco  de  conteúdo  randômico  gerado  para  cada  pacote,  permitindo assim a criptografia única     
  21. 21. Pacote SPA    
  22. 22. Cenário para os testes    
  23. 23. 1º Momento: Sem SPA    
  24. 24. 2º Momento: Com SPA    
  25. 25. Acesso SSH Liberado o/    
  26. 26.    
  27. 27.    
  28. 28. Obrigado! Leandro Almeida Blog:leandro­cavalcanti.blogspot.com Email:lcavalcanti.almeida@gmail.com    
  29. 29. Referências ● http://www.cipherdyne.org/fwknop/ ● http://www.linuxjournal.com/article /9565 ● http://www.linux.com/archive/featur e/135100 ● http://www.jsena.info/downloads/pal estras/JansenSena_FISL9_Single_Pack et_Authorization.pdf ●    

×