Especialização em Segurança da Informação Segurança no Armazenamento 6. Segurança em Storage...

Especializaçãoem Segurançada Informação

Segurança no Armazenamento6. Segurança em Storage

Márcio Aurélio Ribeiro [email protected]://si.lopesgazzani.com.br/docentes/marcio/

Márcio Moreira 6. Segurança em Storage – Slide 2 Segurança no Armazenamento de Informações

Objetivos do capítulo

Mostrar os principais problemas de segurança em ambientes de armazenamento: DAS, NAS, SAN e Backups

Apresentar as recomendações para resolver ou evitar os problemas apresentados


Porque segurança em storage?

Boa parte dos ambientes de storage usam redes de fibra ótica separadas

Muitos administradores assumem que a rede de storage é segura. Será?Os ambientes IP são mais atacados (sem dúvida)Isto não que dizer que ambientes FC estejam livres

Estes ambientes têm a mesma premissa de segurança de outros ambientes:As informações devem estar disponíveis somente

para usuários que tenham direito de acessá-las


Direcionador de segurança

Estamos lidando com: propriedade intelectual, informações proprietárias, segredos comerciais, etc.

Todos os aspectos de segurança de dados devem ser considerados:Não usar premissas ou suposição não confirmadasEspecialmente em partes obscuras da segurançaIsto é fundamental para o sucesso da segurança

em armazenamento


Fatos

A maioria das empresas preocupam-se mais com servidores web do que com storage

Os storages podem estar conectados a várias redes (DMZ - inadequado, interna, aplicações, banco de dados e backups)

Os storages podem estar em segmentos IP:Sem a segmentação adequada um servidor

comprometido pode dar acesso à todas as redes, inclusive as de storage e backup


O que acontece se:

O Web Server for comprometido?E o DB Server?


Porque nos preocupar?

O que ocorre se um espião pegar na rede de storage:Uma senha de root ou de administradorO código fonte de alguma aplicaçãoInformações indevidas e a empresa estiver sujeita a leis que

a obrigam proteger tais informações

As redes de armazenamento estão crescendo Os ataques e as vulnerabilidades estão migrando das

redes IPs para as redes FC:Alguns fabricantes ainda acham que as redes de storage estão

imunes a ataques


Análise preliminar

Medidas da Segurança Práticas de Storage

Autenticação PobreAutorização MédiaCriptografia Inexistente

Resultado: Ruim!


Pacote de FC

É um frame (pacote) composto de:

SOF Header Payload CRC EOF

Iniciador (Start Of Frame)

Cabeçalho

Corpo (área de dados)

Verificador CRC(Cyclic Redundancy Check)

Terminador (End Of Frame)


Arquitetura do protocolo FC

Nível Camada Função

4 Mapping(mapeamento)

Mapeia os canais e protocolos de rede para o FC:Canais: IPI, SCSI, HIPPI e SBC CSProtocolos: 802.2, IP e ATM

3 Common Services(serviços comuns)

Inclui unicast, multicast e broadcast, etc.

2 Framing Protocol(protocolo do pacote)

Define topologia, formato, controle de erro eagrupamentos de frames

1 Transmission Protocol(protocolo de transmissão)

Define a codificação e decodificação de sinal 8B ou 10B

0 Physical Media(meio físico)

Par trançado, cabo coaxial e fibra óptica:133, 266 e 531 Mbps, e de 1.0 até 3.2 Gbps

A camada FC-2 (FC nível 2) tem várias fraquezas:● Autenticação: Não tem autenticação na fábrica● Autorização: Parâmetros de autorização fracos● Cifragem: Não existe atualmente


Resumo do frame da FC-2

O frame da FC-2 é semelhante ao protocolo da camada MAC (Media Access Control):Formato do frameGerenciamento de seqüênciaGerenciamento de intercâmbioControle de fluxoLogin e logoutTopologiasSegmentação e remontagem


Detalhes do frame da FC-2

Start Of Frame

Frame Header

Optional Header PayloadCRC Error

CheckEnd Of Frame64 bytes 2048 bytes

4 bytes 24 bytes 2112 bytes Data Field 4 bytes 4 bytes

CTLSource Address

Destination Address

Type Seq_Cnt Seq_ID Exchange_ID

A camada FC-2 (FC nível 2) tem várias fraquezas de segurança que já foram identificadas e resolvidas no IPv4

O Payload (data field ou área de dados) pode conter de 0 a 2112 bytes a serem transmitidos

SOF Header Payload CRC EOF


Ataques de alta destruição ao FC

Classes de ataques:HBA: Ataques às placas FC HBAsSwitches: Ataques aos elementos de redeFrames: Ataques aos frames FC

Legenda:

Placas HBASwitchesPacotes


Exemplos de ataques

Classe Ataque Descrição

HBA Spoofing Simulação

LUN Masking Mascaramento de LUN

Switch Switch Zoning Troca de zona

LUN Masking Mascaramento de LUN

Cut-through switching Atalho de roteamento

Share Infrastructure Compartilhar infra-estrutura

Web Management Gerenciamento web

Frame Session hijacking Seqüestro de sessão

Man-in-the-middle Homem do meio

Exchange ID Troca de identidade


Ataque HBA: Spoofing (simulação)

Assim como o MAC o WWN pode ser trocado facilmente, inclusive com recursos dos fabricantes

Usando o WWN de uma HBA autorizada o espião pode ter acesso à dados não autorizados


Ataque HBA: Spoofing

Um espião troca o WWN de sua placa HBA pelo WWN da HBA de um usuário válido

Assim, o espião pode ter acesso à outra zona e até a uma LUN do usuário válido


Switch Zoning (troca da zona)

Este ataque permite que um nó da fábrica acesse outro nó usando as políticas de zoneamento

Por enquanto, os switches são as únicas entidades (em muitas redes) que concedem ou negam o direito de acesso aos nós:Porém, o acesso é concedido ou negado baseado

na autorização do WWN, sem envolvimento de nenhum outro mecanismo de segurança, tais como: autenticação, integridade ou criptografia


Tipos de zoneamento

Hard (execução baseada em zoneamento):2 ou mais nós da mesma zona recebem as

mesmas informações de zoneamento para se comunicarem

Neste caso, há restrição de tráfego entre os nós

Soft (Informação baseada em zoneamento):2 ou mais nós da mesma zona recebem

informações de rotas uns dos outrosEste tipo de zoneamento não faz restrição de

tráfego


Bases de zoneamento

Bases de zoneamento:Por WWN:

Baseia-se somente no WWN de cada placa HBA

Por portas:Baseia-se no número de cada porta física (F_Port) do

switch FC para cada WWN de cada placa HBA

As zonas são mecanismos de segmentação:Elas são usadas por ferramentas de segurançaMas, não são mecanismos de segurança

WWN F_Port


Soft Zone Hopping (pulando zonas)

Zoneamento soft por WWN:Simulando um WWN o espião terá acesso às

informações da WWN simuladaSem simular um WWN, se o espião souber a rota para

outro WWN numa zona diferente, que pode ser enumerada via fábrica, terá o acesso garantido

Zoneamento soft por número de portas:A simulação de um WWN não terá sucesso, pois cada

WWN é vinculado a uma porta específicaSem simular um WWN, se o espião souber a rota para

outro WWN o acesso também será garantido neste caso


Hard Zone Hopping (pulando zonas)

Zoneamento hard por WWN:Simulando um WWN o espião terá acesso às

informações da WWN simuladaSem simular um WWN, o espião não terá

acesso a outro WWN mesmo que ele saiba a rota certa para isto

Zoneamento hard por número de portas:Nenhum dos ataques, simulação (spoofing) ou

roteamento, terão sucesso neste casoPortanto, esta é nossa recomendação


Ataque a uma zona soft por WWN


Ataque a uma zona soft por WWN

Depois de comprometer o servidor de Web ou de FTP, um espião pode acessar dados corporativos:Usando o switch FC, simulando seu WWN como WWN-C,

WWN-D ou WWN-EComprometendo o firewall da rede IP e acessando

diretamente a LAN InternaA segurança do SO é a única

proteção de sua rede de

storage?


Mascaramento de LUN

É o processo de esconder ou revelar partes do disco de storage (um LUN) para um nóEle cria um subconjunto do storage, um pool virtual, e

permite o acesso a somente alguns servidores especificados

Basicamente apresenta um conjunto limitado de LUNs para um nó da rede de storage

Também é um mecanismo de segmentação, não de segurança

Pode ocorrer em diferentes lugares:No client, no switch FC, no nó, numa aplicação ou em

dispositivos de terceiros


Ataque ao mascaramento de LUN

Se o mascaramento ocorre no client, usando um driver HBA, então o espião pode:Abrir propriedades do mascaramento do nó, que

não tem parâmetros de autenticaçãoTrocar as configurações para remover qualquer

um ou todos os mascaramentos

Isto também permite ao nó cliente ver todos os LUNs identificados, tendo ou não autorização para isto


Troca de informações de LUN

O driver HBA troca informações de LUN:


Ataques de mascaramento de LUN

No switch FC:Se o mascaramento ocorrer no switch FC, então

um WWN simulado pode comprometer as propriedades do mascaramento

Na controladora do storage:A controladora pode ser usada para expor alguns

LUNs para alguns WWNs

Logo, comprometendo um WWN toda a segurança estará comprometida!


Session Hijacking (seqüestro de sessão)

Fraquezas do identificador de seqüência:Seq_ID (identificador) e Seq_Cnt (contador)Todo frame deve ser parte de uma seqüênciaFrames de uma mesma seqüência têm o mesmo Seq_IDCada frame na seqüência é controlado pelo Seq_CntEx: Seq_ID = 1, Seq_Cnt = 1, 2, 3, ....

Start Of Frame

Frame Header




CTLSource Address

Destination Address



Vulnerabilidade explorada

No FC os pacotes são seqüenciados na transmissão de uma porta para outra:O receptor tem que verificar todos os frames para

montar a seqüência esperadaMas, ninguém falou quantos frames existem

Um espião pode seqüestrar uma seqüência estabelecida entre 2 nós confiáveis:Se a seqüência tiver por exemplo 132 framesBasta continuar criando frames: 133, 134, etc.


Ataque do Session Hijacking

Se o espião não estiver preocupado com consistência, o ataque é mais simples:Capture a identificação da seqüência (Seq_ID)Produza o frame seguinte fazendo:

Seq_Cnt = Seq_Cnt + 1

Como não há controle

de integridade dos

frames, a sessão já

estará seqüestrada


Endereçamento FC

Endereços de 24 bits (source e destination):8 bits: Domínio (switch ID)8 bits: Área (grupo de F_Ports)8 bits: Porta (N_Port)

Start Of Frame

Frame Header




CTLSource Address

Destination Address


ID F_Ports N_Port ID F_Ports N_Port


Roteamento FC

Roteamento:Um nó (N_Port) é dinamicamente atribuído a um

endereço de 24 bits, usualmente pelo switch seguindo a topologia (fábrica), este endereço é usado para fazer o roteamento

No switch a Name Servers Table (tabela de servidores) mantém o endereço da Porta (24 bits) e do WWN (64 bits)

O que isto nos lembra?Roteamento IPv4


Ataque man-in-the-middle

Explora fraquezas da fábrica para entrar nela:O espião envia um login para a Fábrica (FLOGI) para o

endereço 0xFFFFFE (semelhante ao broadcast) usando o endereço 0x000000 (pois ele não sabe seu N_Port)

A fábrica e o switch associado recebe o frame e envia um frame de aceitação (ACC) para o espião

O frame ACC tem dentro dele o N_Port certo do espiãoAgora o espião tem o N_Port dele e da fábricaComo não há validação nem autenticação, ele envia um

port login (PLOGI) para 0xFFFFFC (endereço que permite a um servidor atualizar a tabela de WWN no switch)


Contaminando a tabela de servidores

A fábrica assume que os frames da conexão devem ser enviados ao WWN do espião:Assim, todos os frames destinados ao nó destino

passam primeiro pelo nó do espiãoPronto, o espião virou o homem do meio!


Replicação E_Port

As E_Ports (Expansion Ports) dos switches FC fornecem “uplink” para outros switches:Quando os switches descobrem a conexão com

outro pela E_Port, eles compartilham: informação da fábrica, gerenciamento e tabelas (nomes de servidores e de zoneamento)

Normalmente, a replicação via E_Port requer autenticação

Por padrão, todas as portas dos switches FC podem ser F_Ports ou E_Ports


Vulnerabilidade no controle de fluxo

Um dispositivo pode transmitir frames para outro somente quando o receptor está pronto:Antes de enviar dados uns para os outros, os

dispositivos precisam fazer login e estabelecer

créditos entre siCréditos:

Número de frames que um dispositivo pode receber por vezEste valor é compartilhado durante o login

Interrupção do controle de fluxo:No compartilhamento não há autenticação nem integridadeUm espião pode trocar informações de serviço entre 2 nós

autorizados e interromper o serviço


Atalhos de roteamento (cut-through)

Alguns switches olham apenas o D_ID (Destination ID ou endereço de destino) para rotear o frame

Isto aumenta a performance reduzindo o tempo necessário para decidir rotas

Entretanto, o frame é encaminhado sem verificação de S_ID (Source ID ou endereço de origem)Os endereços D_ID e S_ID são de 24 bits


Web Management

O protocolo http passa dados em texto planoIsto é péssimo para a segurançaAlém disto, as senhas padrões dos switches

FC são todas conhecidas:password, admin, manage, prom, filer, netcache,

monitor, temp, root, backup, KuSuM, momanddad, <switch vendor>, <company name>, letmein, secureme, abcd1234, money, Config, test, secret, keepout, test123 e green

Logo, evite o gerenciamento remoto via web


Arquitetura alvo

Robusta?


Ataque Web Management fase 1

Comprometa o Servidor WebGanhe acesso ao Servidor BDComprometa o Firewall InternoUma vez na Rede Interna, ataque a interface

IP do Switch FCComprometa o Switch FC


Ataque Web Management fase 2

Usando a fase 1 comprometa o Switch FCInstale “aplicações” usando o caminho

comprometido ou:Use a manutenção da rede interna como entradaSeja um:

“Fornecedor”“Consultor”“Parceiro de Negócios”Etc.


Web Management considerações Se o acesso direto aos dados não é possível:

Levante a topologia por enumeraçãoFaça um spoofing usando WWNAcesse o switch via linha de comandoComplete as informações da zona


Exemplos de enumeração


Ataque Share Infrastructure

Inicialmente:Servidor do espião conectado na

F_Port do Switch FC central

Ataque:O espião troca o servidor por um

Switch FC com E_PortO Switch central troca o modo da

porta para E_Port e replica todos os dados para o novo switch

Compromete-se o que estiver conectado ao switch central


Conclusão

Soluções de segurança:Existem muitas vulnerabilidades!Mas, existem muitas soluções de

segurança que podem ajudar a instalar e manter um ambiente de storage seguro!


Switches FC: ações de curto-prazo

Zoneamento hard nas portas físicas:Adiciona um nível razoável de segurançaEvita o ataque de Spoofing (simulação)

Port Binding (vinculação de portas):Bloqueia a porta física somente para um WWNEvita o ataque de Spoofing (simulação)

Controle de tipos de porta:Trava uma porta para um determinado tipo de

porta: F_Port ou E_PortEvita o ataque de replicação de E_Port


Switches FC: ações de longo-prazo

SLAP (Switch Layer Authentication Protocol):Habilita autenticação digital entre switchesEvita o ataque de Web Management

Fabric Membership Authorization:Incorpora em cada switch uma lista de WWNs autorizados

a associar-se à fábricaEvita o ataque de replicação de E_Port

Fabric Configuration Servers:Um switch é eleito único administrador de switchesEle usa sua própria autenticação ao invés de SNMP ou

credenciais (usuário e senha): evita o Web Management


PrecauçõesMascaramento de LUNs:

Não confie na máscara de LUN como sua única fonte de segurança

Não use mascaramento de LUN no cliente

Pontos de entrada seguros:Use somente:

Sistemas operacionais seguros conectados ao storageInterfaces IP seguras nos dispositivos da rede de storageGerenciamento seguro de estações, servidores e demais

elementos de rede conectados à rede de storageMáquinas na DMZ não acessam a rede de storage (nem

indiretamente)


Melhorias

Já disponível:Dispositivos de FC CriptografadosAutenticação:

Baseada em certificados digitais para as fábricas: Use de switch para switch e da HBA para o switch

A caminho:Criptografia de dados em trânsito e no storage:

Facilitará a integridade e confidencialidade: FC-GS-4 FCSec (Fiber Channel Security)


Recomendações gerais 1

Para redes estáticas, use portas por zonas ao invés de WWNs por zona

Use zoneamento hard ao invés de soft Troque as senhas padrões dos switches Não use máscara de LUN nos nós clientes Gerencie os switches somente de redes seguras

(rede de storage), nunca pela rede interna (rede IP) ou externa (remota)

Use autenticação por chaves para fazer o acesso de switch para switch



Crie uma zona de storage para cada zona de segurança da rede IP, jamais use uma única zona na rede de storage

Use credenciais diferentes para administrar e manter (um par para cada uma das redes)

Desabilite o gerenciamento na rede (SES ou FC-SNMP)

Desabilite os atalhos de roteamentoHabilite a vinculação e o bloqueio de portas



Use ferramentas de criptografia na transmissão e no armazenamento de dados

Desabilite a replicação E_Port e qualquer transferência automática de Name Server

Reforce a segurança de todos os sistemas operacionais que conectarem à rede de storage

Aplique o ciclo PDCA (Plan-Do-Check-Act) para a segurança de todo o ambiente


Suporte dos fabricantes

Chaves de autenticação entre os dispositivos de storage:WWN, switches e interoperabilidade

Criptografia de dadosAutenticação de framesImprevisibilidade da seqüência de controleAutenticação dupla na gestão de aplicações:

Uso de outro fator de segurança além da credencial padrão (usuário e senha)


Melhores práticas

Siga as melhores práticas:Isto evita total ou parcialmente acesso não

autorizado à rede de storage e a seus dadosAlém de criar mais dificuldades para o espião

Gerencie os riscos:Conheça completamente sua exposição a riscosEntenda a tolerância ao risco do seu negócioDecida a arquitetura de segurança que será

utilizada em sua rede de storage


Referências

Blair Semple. Securing Data with Strong Encryption and Access Controls. Network Appliance. Info Security. 2007.

Colleen Rhodes. Security Considerations for Storage Area Networks. East Carolina University. 2005.

EMC. Storage Basics. EMC. Jun-2006. Himanshu Dwivedi. Storage Security. BackHat. 2003. HP. Storage security. HP. 2004. Luiz Claudio Rodrigues. Protegendo Suas Informações. CA. Mark Friedman. Elements of SAN capacity planning. DataCore. Rahul Auradkar and Keith Hageman.

Simplified Storage, Storage Directions And Trends - Simple SANs - SAN Security. Microsoft.

W. Curtis Preston. Storage Security - Securing Stored Data: Protecting Storage Networks and Backups. GlassHouse. SWC. 2006.

Especialização em Segurança da Informação Segurança no Armazenamento 6. Segurança em Storage...

Documents

Transcript of Especialização em Segurança da Informação Segurança no Armazenamento 6. Segurança em Storage...