V20010314/CRSC2001-ESTG- Leiria,2001040X 1 Segurança informática na FCCN Conferência de Redes e...

v20010314/CRSC2001-ESTG-Leiria,2001040X

1

Segurança informática na FCCN Conferência de Redes e Serviços de Comunicação 2001/

Segurança em Redes IPhttp://www.dei.estg.iplei.pt/eventos/crsc2001/

(Escola Superior de Tecnologia e Gestão de Leiria)

João Pagaime


2

Sumário• FCCN

– Activos a proteger, riscos, política de segurança e processos implantados

• RCTS– Carta ao utilizador, caracterização problemas segurança existentes

e processos implantados

• Contactos / Refs


3

FCCN e RCTS• FCCN

– É uma instituição com pouco mais de 50 utilizadores informáticos, ligada à Internet

– Gestão da Rede Ciência Tecnologia e Sociedade (RCTS), redes do serviço DNS de Top Level Domain - PT (TLD-PT), redes de backbone (Webcache, NetNews, etc.)

• RCTS– Dezena de instituições de ensino superior e milhares de

escolas, entre outras organizações (bibliotecas, etc.)


4

Activos a proteger

• Disponibilidade serviços• Integridade serviços prestados• Informação/privacidade• Confiança depositada pelos utilizadores


5

FCCN - Riscos internos

• Pressuposto: os utilizadores são de confiança, mas precisam de ser protegidos

• Utilização contrária à Política de Segurança– Desconhecimento

• Execução de anexos de correio electrónico• “Limpezas” de contas

– Os descuidos• Abertura de serviços de conveniência• Testes em redes produção

• Informação confidencial comprometida


6

FCCN - Riscos externos

• Pressuposto: os clientes são hostis• Negação de serviço (Denial of Service - DoS)

– Exaustão recursos (SynFlood, smurf, etc.)

– Protecção completa muito difícil em redes IP: endereços origem forjados (spoofing); rede não orientada à ligação: não pode ajudar (sem controlo de admissão); ónus de protecção no servidor

– Apenas é necessário maior poder computacional do lado atacante


7

FCCN - Riscos externos (2)

• Intrusão em sistemas através de serviços disponíveis– Configuração deficiente (passwords de omissão, etc.)

– Falhas nos serviços/SO:• Verificação fraca de informação passada em argumentos

(Cavalos de Tróia executados ilegitimamente).

• Acesso a zonas de memória de execução através de informação passada aos serviços (buffer overrun). Ex: BIND, WU-FTD, etc.


8

FCCN - Política Segurança

• Existiu de facto materializada num documento extenso/exaustivo (+80 páginas)

• Esforço de manutenção de tal documento não adequado

• Preferível consolidar política em pequeno conjunto de regras

• Ênfase nos processos, esforço continuado, além da arquitectura inicial


9

FCCN - Política Segurança (2)

• Objectivos– Manter nível risco conhecido e controlado, a um custo

adequado

– Protecção contra ataques amadores externos

– Protecção interna de alguma informação


10

FCCN - Política Segurança (3)• Algumas directrizes principais/gerais

– Apenas correm serviços que se justifiquem necessários, e para os utilizadores que necessitem deles

– Informação pertinente é salvaguardada em suporte externo aos sistemas (backups) com histórico adequado

– Existência de controlo de perímetro • Controlo acesso/FW: existem documentos neutros, abertos, legíveis

com conhecimentos técnicos médios, para realização em equipamento

• Emails (verificação na entrada)

– Usar canais seguros para acesso a serviços internos quando autenticação está envolvida e os clientes vem de fora (SSH)

– Fazer gestão de segredos/passwords acessível a pessoal autorizado

– Preocupação de segurança com sistemas em redes protegidas não deve ser fraca, porque podem ser acessíveis indirectamente


11

FCCN - Política Segurança (4)• Mais directrizes da PS

• O repositório de trabalho dos Colaboradores da FCCN (CF) deve ser em servidor disponibilizado para o efeito e não no posto de trabalho

• Os CF não devem abrir anexos de correio electrónico sem conhecimento prévio de sua chegada (difícil na prática)

• Os postos de trabalho correm programa antivírus com actualizações adequadas

• Os CF tomam conhecimento que nenhuma informação que atravesse sistemas da FCCN é considerada privada ou pessoal

• Os utilizadores não podem cifrar informação de trabalho sem autorização superior

• Outras...


12

FCCN - Backups• Problema: fiabilidade; Lógica de “Resolução de problema

tem prioridade baixa…”

• Existe uma tabela que declara, por sistema

– Abrangência em dias

– Frequência

– Meios físicos disponibilizados

• Diariamente os logs são inspeccionados

– Examinador declara que inspeccionou logs

– Notícia de problemas é propagada a administradores de sistemas

• Tecnologia: Dump/tar/samba


13

FCCN - Controlo perímetro (ideal)• DMZ recebe pedidos clientes

externos

• Postos trabalho acedem ao exterior indirectamente (servidor bastião, NAT, etc.)

• Serviços internos (contabilidade, etc) isolados


14

FCCN - Controlo perímetro (+real) • Rede com alguns anos

– Alguns serviços com acessos externos na rede interna (junto com postos de trabalho)

• Vários DailOuts (In?) - POTS, RDIS

• Ligações intermitentes a plataforma de testes

• Segmentos wireless


15

FCCN - Controlo de perímetro - realização

• Filtros de pacotes sem estado– Baseado em listas de controlo de acesso (negar por

omissão)• Por interface

• Direcção

• Aspecto do pacote (endereços, portos org/dst, protocolo, flags segmentos TCP)

• Logging

– Vantagens• Já vem com o router

• Boa aproximação à natureza do tráfego - flexibilidade

• Manipulação bem dominada (existe boa especialização)


16

FCCN - Controlo de perímetro - realização (2)

– Desvantagens• Difícil de gerir se número de regras for grande

• Falta de especialização equipamento: fácil de atacar (sobrecarga logging, por exemplo), não detecta nem alerta eventuais tentativas de ataque a sistema protegidos

• Certos serviços são difíceis de configurar (negociação de portos dentro de sessão)

• Linguagem de configuração não adequada a expressar política de controlo de acesso (elevado detalhe)


17


• Gestão e operação em grupos de trabalho diferentes– Linguagem neutra

– Sincronização de configurações

– Uns querem linguagem de descrição de alto nível

– Outros preferem formalismos próximos das ACLs


18


• Compromisso: linguagem das “tabelas”

• Ambiguidades:– ICMP não é serviço

– Tendência para olhar para as duas tabelas como “sentidos” de tráfego

– Não capta outros aspectos: anti-spoof, anti-smurf


19

FCCN - Controlo de perímetro - vírus email (5)

• Controlo centralizado à entrada do Mail Transfer Agent (qmail); Impossível eficácia 100% - mails podem aparecer cifrados fim-a-fim

• qmail-scanner– Pretende-se apenas “reacção rápida” para controlar

surtos bem conhecidos - não se usam BDs que careçam de actualização periódica

– Expressões regulares que instanciam por aspecto do email

– Dezenas de ocorrências / mês


20

FCCN - Anti Vírus no P.Trabalho• Pode provocar instabilidade no Posto de Trabalho

• Complexo de gerir: actualizações periódicas

• Fomenta excepções de configuração para que Posto de Trabalho funcione

• É um mal necessário. Difícil mover antivírus para servidor, porque a existência de vírus deve ser verificada em cada execução no Posto de Trabalho. Eventual compromisso: em caso de catástrofe, recuperar informação do servidor através de backups...


21

FCCN - Canais seguros para gestão operacional de sistemas

• Telnet, FTP, rsh: banidos. Não há passwords em claro na rede em condições normais

• Usa-se SSH(v2)

– Canal autenticado, privado com protecção de integridade

– Chave pública/privada. Mesma chave pública em todos os servidores

– Flexibilidade de criação de túneis (plugs TCP). VPN...

– Agente de autenticação automática (memorização pass phrase p/decifrar chave privada) para X (posto trabalho)


22

FCCN - Gestão segredos

• Escolha de passwords– Aleatórias com 8 caracteres (~3*10^14). Diferentes em

todos sistemas• Vantagens

– Consideradas fortes (resistentes ataques dicionário)

– Evitam-se vícios de escolha de passwd (@=a,$=s,etc.)

• Desvantagens– Prescinde-se de flexibilidade memorizar passwords

– Difícil introdução em consola

– Existe uma tabela com passwords protegida PGP


23

FCCN - Atenção à comunidade de segurança

• Importante estar atento (listas email, CERT, newsgroups, etc.)

• Tão importante que é conveniente consolidar em serviço interno– Manifesto diário de leitura de listas (bugtrack, relatórios

de servidores, integridade ficheiros, etc.)

• Hackers normalmente benevolentes: avisos, depois confusão, e, finalmente, exploits (alguns dias…)


24

FCCN - Detecção intrusão

– Detecção diária diferenças directórios

– Simplicidade (ambiente heterogéneo) - Osiris/Scale

– Entradas SSH unidireccionais

– Preparação para o inevitável

– Detecção de mudanças importantes no sistema


25

RCTS - Accepted User Policy• Entre outras coisas interessantes:

– Não pode ser dado uso que prejudique outros utilizadores

• Corolário: Incidentes que usem troços comuns da rede, prejudicam outros utilizadores

– Linhas internacionais

– PIX

– backbone

• Graus de sugestão de acção: aviso, corte de endereço IP, corte de rede, corte de porta


26

RCTS - Caracterização problemas• Estado não é famoso: dos primeiros utilizadores da Internet

em Portugal - arquitectura aberta e pouco preparada

• Ambiente académico muito dinâmico com alta rotatividade de operacionais responsáveis

• Os problemas:

– Propagação SPAM

– Participantes em ataques de SMURF

– Intrusões em sistemas internos (usados posteriormente para lançamento de ataques)

– Outros (portscan, etc.)


27

RCTS - Metodologia de tratamento de incidentes

• Notificação ao contacto técnico da Instituição - pouco eficaz (contactos podem ser pessoas seniores das Instituições pouco sensibilizadas para estes problemas)

• Notificação à Instituição, Espera, autorização Conselho Executivo FCCN, Eventual corte - difícil de gerir operacionalmente

• Autónomo/automatizado: Incidente frequente e passível de caracterização técnica rigorosa: não carece autorização CE (anti-SPAM)


28

RCTS - Incidente frequente: Propagação SPAM

• Tratamento autónomo/automatizado

• Mail Transfer Agents (sendmail, qmail, exchange) aceitam email para entrega de qualquer cliente (dialup em EUA). Em seguida propagam para Inet.

• Vem queixa da Internet para a FCCN

• Emite-se aviso e dá-se 7 dias para resolução

• Findo prazo e não resolução do problema, afunda-se endereço MTA na RCTS

• BlackList disponível apenas aos envolvidos

• Levantamento de quarentena para teste: horas em vez de dias (ou semanas) dos transportadores internacionais


29

RCTS - SMURF - problema grave latente

• Dezenas de redes abertas

• Consequências graves: DoS de alvo, e, provavelmente de participante. Pode saturar circuitos internacionais...

• Fácil de caracterizar tecnicamente

– Sabe-se redes atribuídas às Instituições (domínio público - RIPE). Pode haver segmentação interna desconhecida para FCCN (e para resto do mundo…)

– Basta fazer ping para endereço rede e difusão

– Verificar quantas respostas aparecem

• Ou seja, está nas condições para ser candidato a medidas autónomas/automatizadas

• Fácil resolução: “no ip direct-broacast”


30

RCTS - Coordenação de incidentes ?• [email protected] - Computer Emergency Response

Team “registada” em CERT Europeu (www.eurocert.org)

• Para que está a servir?

– Notificação de intrusão em “sites” web…

– Mais um vazadouro de queixas (além de abuse@, postmaster@, Nicks do RIPE, etc.)

• Adesão instituições praticamente nula. Pouca inclinação a divulgar vulnerabilidades

• Consequências:

– Apenas mais um endereço de correio electrónico


31

RCTS - Coordenação de incidentes

•

RCTS - Coordenação de incidentes ?

• Uma hipótese

– Serviço para a RCTS

• Manual prático de tratamento de incidente

• Formas de obter contactos em rede IP

• Contactos em Portugal (Polícia Judiciária)

– Com os devidos cuidados… São mundos muito diferentes. Pretende-se resolver um problema, e não dar-lhe mais uma dimensão

• Possibilidade de contactar técnico da FCCN, após outros meios esgotados

• Possibilidade de manter histórico via Portal

– Serviço para o mundo. Apenas mais uma via de comunicação de entrada


32

Contactos / Refs

• • “João Pagaime” <[email protected]>• Carta ao utilizador da RCTS (AUP):

– http://www.fccn.pt/RCTS/formalidades/carta/index.shtml

• Política Anti-SPAM: – http://www.fccn.pt/RCTS/spam/politicaSpam.shtml

• [email protected]• Helpdesk: [email protected]• Osiris/Scale:

– http://www.shmoo.com/tools/

V20010314/CRSC2001-ESTG- Leiria,2001040X 1 Segurança informática na FCCN Conferência de Redes e...

Documents

Transcript of V20010314/CRSC2001-ESTG- Leiria,2001040X 1 Segurança informática na FCCN Conferência de Redes e...