v20010314/CRSC2001-ESTG-Leiria,2001040X
1
Segurança informática na FCCN Conferência de Redes e Serviços de Comunicação 2001/
Segurança em Redes IPhttp://www.dei.estg.iplei.pt/eventos/crsc2001/
(Escola Superior de Tecnologia e Gestão de Leiria)
João Pagaime
v20010314/CRSC2001-ESTG-Leiria,2001040X
2
Sumário• FCCN
– Activos a proteger, riscos, política de segurança e processos implantados
• RCTS– Carta ao utilizador, caracterização problemas segurança existentes
e processos implantados
• Contactos / Refs
v20010314/CRSC2001-ESTG-Leiria,2001040X
3
FCCN e RCTS• FCCN
– É uma instituição com pouco mais de 50 utilizadores informáticos, ligada à Internet
– Gestão da Rede Ciência Tecnologia e Sociedade (RCTS), redes do serviço DNS de Top Level Domain - PT (TLD-PT), redes de backbone (Webcache, NetNews, etc.)
• RCTS– Dezena de instituições de ensino superior e milhares de
escolas, entre outras organizações (bibliotecas, etc.)
v20010314/CRSC2001-ESTG-Leiria,2001040X
4
Activos a proteger
• Disponibilidade serviços• Integridade serviços prestados• Informação/privacidade• Confiança depositada pelos utilizadores
v20010314/CRSC2001-ESTG-Leiria,2001040X
5
FCCN - Riscos internos
• Pressuposto: os utilizadores são de confiança, mas precisam de ser protegidos
• Utilização contrária à Política de Segurança– Desconhecimento
• Execução de anexos de correio electrónico• “Limpezas” de contas
– Os descuidos• Abertura de serviços de conveniência• Testes em redes produção
• Informação confidencial comprometida
v20010314/CRSC2001-ESTG-Leiria,2001040X
6
FCCN - Riscos externos
• Pressuposto: os clientes são hostis• Negação de serviço (Denial of Service - DoS)
– Exaustão recursos (SynFlood, smurf, etc.)
– Protecção completa muito difícil em redes IP: endereços origem forjados (spoofing); rede não orientada à ligação: não pode ajudar (sem controlo de admissão); ónus de protecção no servidor
– Apenas é necessário maior poder computacional do lado atacante
v20010314/CRSC2001-ESTG-Leiria,2001040X
7
FCCN - Riscos externos (2)
• Intrusão em sistemas através de serviços disponíveis– Configuração deficiente (passwords de omissão, etc.)
– Falhas nos serviços/SO:• Verificação fraca de informação passada em argumentos
(Cavalos de Tróia executados ilegitimamente).
• Acesso a zonas de memória de execução através de informação passada aos serviços (buffer overrun). Ex: BIND, WU-FTD, etc.
v20010314/CRSC2001-ESTG-Leiria,2001040X
8
FCCN - Política Segurança
• Existiu de facto materializada num documento extenso/exaustivo (+80 páginas)
• Esforço de manutenção de tal documento não adequado
• Preferível consolidar política em pequeno conjunto de regras
• Ênfase nos processos, esforço continuado, além da arquitectura inicial
v20010314/CRSC2001-ESTG-Leiria,2001040X
9
FCCN - Política Segurança (2)
• Objectivos– Manter nível risco conhecido e controlado, a um custo
adequado
– Protecção contra ataques amadores externos
– Protecção interna de alguma informação
v20010314/CRSC2001-ESTG-Leiria,2001040X
10
FCCN - Política Segurança (3)• Algumas directrizes principais/gerais
– Apenas correm serviços que se justifiquem necessários, e para os utilizadores que necessitem deles
– Informação pertinente é salvaguardada em suporte externo aos sistemas (backups) com histórico adequado
– Existência de controlo de perímetro • Controlo acesso/FW: existem documentos neutros, abertos, legíveis
com conhecimentos técnicos médios, para realização em equipamento
• Emails (verificação na entrada)
– Usar canais seguros para acesso a serviços internos quando autenticação está envolvida e os clientes vem de fora (SSH)
– Fazer gestão de segredos/passwords acessível a pessoal autorizado
– Preocupação de segurança com sistemas em redes protegidas não deve ser fraca, porque podem ser acessíveis indirectamente
v20010314/CRSC2001-ESTG-Leiria,2001040X
11
FCCN - Política Segurança (4)• Mais directrizes da PS
• O repositório de trabalho dos Colaboradores da FCCN (CF) deve ser em servidor disponibilizado para o efeito e não no posto de trabalho
• Os CF não devem abrir anexos de correio electrónico sem conhecimento prévio de sua chegada (difícil na prática)
• Os postos de trabalho correm programa antivírus com actualizações adequadas
• Os CF tomam conhecimento que nenhuma informação que atravesse sistemas da FCCN é considerada privada ou pessoal
• Os utilizadores não podem cifrar informação de trabalho sem autorização superior
• Outras...
v20010314/CRSC2001-ESTG-Leiria,2001040X
12
FCCN - Backups• Problema: fiabilidade; Lógica de “Resolução de problema
tem prioridade baixa…”
• Existe uma tabela que declara, por sistema
– Abrangência em dias
– Frequência
– Meios físicos disponibilizados
• Diariamente os logs são inspeccionados
– Examinador declara que inspeccionou logs
– Notícia de problemas é propagada a administradores de sistemas
• Tecnologia: Dump/tar/samba
v20010314/CRSC2001-ESTG-Leiria,2001040X
13
FCCN - Controlo perímetro (ideal)• DMZ recebe pedidos clientes
externos
• Postos trabalho acedem ao exterior indirectamente (servidor bastião, NAT, etc.)
• Serviços internos (contabilidade, etc) isolados
v20010314/CRSC2001-ESTG-Leiria,2001040X
14
FCCN - Controlo perímetro (+real) • Rede com alguns anos
– Alguns serviços com acessos externos na rede interna (junto com postos de trabalho)
• Vários DailOuts (In?) - POTS, RDIS
• Ligações intermitentes a plataforma de testes
• Segmentos wireless
v20010314/CRSC2001-ESTG-Leiria,2001040X
15
FCCN - Controlo de perímetro - realização
• Filtros de pacotes sem estado– Baseado em listas de controlo de acesso (negar por
omissão)• Por interface
• Direcção
• Aspecto do pacote (endereços, portos org/dst, protocolo, flags segmentos TCP)
• Logging
– Vantagens• Já vem com o router
• Boa aproximação à natureza do tráfego - flexibilidade
• Manipulação bem dominada (existe boa especialização)
v20010314/CRSC2001-ESTG-Leiria,2001040X
16
FCCN - Controlo de perímetro - realização (2)
– Desvantagens• Difícil de gerir se número de regras for grande
• Falta de especialização equipamento: fácil de atacar (sobrecarga logging, por exemplo), não detecta nem alerta eventuais tentativas de ataque a sistema protegidos
• Certos serviços são difíceis de configurar (negociação de portos dentro de sessão)
• Linguagem de configuração não adequada a expressar política de controlo de acesso (elevado detalhe)
v20010314/CRSC2001-ESTG-Leiria,2001040X
17
FCCN - Controlo de perímetro - realização (3)
• Gestão e operação em grupos de trabalho diferentes– Linguagem neutra
– Sincronização de configurações
– Uns querem linguagem de descrição de alto nível
– Outros preferem formalismos próximos das ACLs
v20010314/CRSC2001-ESTG-Leiria,2001040X
18
FCCN - Controlo de perímetro - realização (4)
• Compromisso: linguagem das “tabelas”
• Ambiguidades:– ICMP não é serviço
– Tendência para olhar para as duas tabelas como “sentidos” de tráfego
– Não capta outros aspectos: anti-spoof, anti-smurf
v20010314/CRSC2001-ESTG-Leiria,2001040X
19
FCCN - Controlo de perímetro - vírus email (5)
• Controlo centralizado à entrada do Mail Transfer Agent (qmail); Impossível eficácia 100% - mails podem aparecer cifrados fim-a-fim
• qmail-scanner– Pretende-se apenas “reacção rápida” para controlar
surtos bem conhecidos - não se usam BDs que careçam de actualização periódica
– Expressões regulares que instanciam por aspecto do email
– Dezenas de ocorrências / mês
v20010314/CRSC2001-ESTG-Leiria,2001040X
20
FCCN - Anti Vírus no P.Trabalho• Pode provocar instabilidade no Posto de Trabalho
• Complexo de gerir: actualizações periódicas
• Fomenta excepções de configuração para que Posto de Trabalho funcione
• É um mal necessário. Difícil mover antivírus para servidor, porque a existência de vírus deve ser verificada em cada execução no Posto de Trabalho. Eventual compromisso: em caso de catástrofe, recuperar informação do servidor através de backups...
v20010314/CRSC2001-ESTG-Leiria,2001040X
21
FCCN - Canais seguros para gestão operacional de sistemas
• Telnet, FTP, rsh: banidos. Não há passwords em claro na rede em condições normais
• Usa-se SSH(v2)
– Canal autenticado, privado com protecção de integridade
– Chave pública/privada. Mesma chave pública em todos os servidores
– Flexibilidade de criação de túneis (plugs TCP). VPN...
– Agente de autenticação automática (memorização pass phrase p/decifrar chave privada) para X (posto trabalho)
v20010314/CRSC2001-ESTG-Leiria,2001040X
22
FCCN - Gestão segredos
• Escolha de passwords– Aleatórias com 8 caracteres (~3*10^14). Diferentes em
todos sistemas• Vantagens
– Consideradas fortes (resistentes ataques dicionário)
– Evitam-se vícios de escolha de passwd (@=a,$=s,etc.)
• Desvantagens– Prescinde-se de flexibilidade memorizar passwords
– Difícil introdução em consola
– Existe uma tabela com passwords protegida PGP
v20010314/CRSC2001-ESTG-Leiria,2001040X
23
FCCN - Atenção à comunidade de segurança
• Importante estar atento (listas email, CERT, newsgroups, etc.)
• Tão importante que é conveniente consolidar em serviço interno– Manifesto diário de leitura de listas (bugtrack, relatórios
de servidores, integridade ficheiros, etc.)
• Hackers normalmente benevolentes: avisos, depois confusão, e, finalmente, exploits (alguns dias…)
v20010314/CRSC2001-ESTG-Leiria,2001040X
24
FCCN - Detecção intrusão
– Detecção diária diferenças directórios
– Simplicidade (ambiente heterogéneo) - Osiris/Scale
– Entradas SSH unidireccionais
– Preparação para o inevitável
– Detecção de mudanças importantes no sistema
v20010314/CRSC2001-ESTG-Leiria,2001040X
25
RCTS - Accepted User Policy• Entre outras coisas interessantes:
– Não pode ser dado uso que prejudique outros utilizadores
• Corolário: Incidentes que usem troços comuns da rede, prejudicam outros utilizadores
– Linhas internacionais
– PIX
– backbone
• Graus de sugestão de acção: aviso, corte de endereço IP, corte de rede, corte de porta
v20010314/CRSC2001-ESTG-Leiria,2001040X
26
RCTS - Caracterização problemas• Estado não é famoso: dos primeiros utilizadores da Internet
em Portugal - arquitectura aberta e pouco preparada
• Ambiente académico muito dinâmico com alta rotatividade de operacionais responsáveis
• Os problemas:
– Propagação SPAM
– Participantes em ataques de SMURF
– Intrusões em sistemas internos (usados posteriormente para lançamento de ataques)
– Outros (portscan, etc.)
v20010314/CRSC2001-ESTG-Leiria,2001040X
27
RCTS - Metodologia de tratamento de incidentes
• Notificação ao contacto técnico da Instituição - pouco eficaz (contactos podem ser pessoas seniores das Instituições pouco sensibilizadas para estes problemas)
• Notificação à Instituição, Espera, autorização Conselho Executivo FCCN, Eventual corte - difícil de gerir operacionalmente
• Autónomo/automatizado: Incidente frequente e passível de caracterização técnica rigorosa: não carece autorização CE (anti-SPAM)
v20010314/CRSC2001-ESTG-Leiria,2001040X
28
RCTS - Incidente frequente: Propagação SPAM
• Tratamento autónomo/automatizado
• Mail Transfer Agents (sendmail, qmail, exchange) aceitam email para entrega de qualquer cliente (dialup em EUA). Em seguida propagam para Inet.
• Vem queixa da Internet para a FCCN
• Emite-se aviso e dá-se 7 dias para resolução
• Findo prazo e não resolução do problema, afunda-se endereço MTA na RCTS
• BlackList disponível apenas aos envolvidos
• Levantamento de quarentena para teste: horas em vez de dias (ou semanas) dos transportadores internacionais
v20010314/CRSC2001-ESTG-Leiria,2001040X
29
RCTS - SMURF - problema grave latente
• Dezenas de redes abertas
• Consequências graves: DoS de alvo, e, provavelmente de participante. Pode saturar circuitos internacionais...
• Fácil de caracterizar tecnicamente
– Sabe-se redes atribuídas às Instituições (domínio público - RIPE). Pode haver segmentação interna desconhecida para FCCN (e para resto do mundo…)
– Basta fazer ping para endereço rede e difusão
– Verificar quantas respostas aparecem
• Ou seja, está nas condições para ser candidato a medidas autónomas/automatizadas
• Fácil resolução: “no ip direct-broacast”
v20010314/CRSC2001-ESTG-Leiria,2001040X
30
RCTS - Coordenação de incidentes ?• [email protected] - Computer Emergency Response
Team “registada” em CERT Europeu (www.eurocert.org)
• Para que está a servir?
– Notificação de intrusão em “sites” web…
– Mais um vazadouro de queixas (além de abuse@, postmaster@, Nicks do RIPE, etc.)
• Adesão instituições praticamente nula. Pouca inclinação a divulgar vulnerabilidades
• Consequências:
– Apenas mais um endereço de correio electrónico
v20010314/CRSC2001-ESTG-Leiria,2001040X
31
RCTS - Coordenação de incidentes
•
RCTS - Coordenação de incidentes ?
• Uma hipótese
– Serviço para a RCTS
• Manual prático de tratamento de incidente
• Formas de obter contactos em rede IP
• Contactos em Portugal (Polícia Judiciária)
– Com os devidos cuidados… São mundos muito diferentes. Pretende-se resolver um problema, e não dar-lhe mais uma dimensão
• Possibilidade de contactar técnico da FCCN, após outros meios esgotados
• Possibilidade de manter histórico via Portal
– Serviço para o mundo. Apenas mais uma via de comunicação de entrada
v20010314/CRSC2001-ESTG-Leiria,2001040X
32
Contactos / Refs
• • “João Pagaime” <[email protected]>• Carta ao utilizador da RCTS (AUP):
– http://www.fccn.pt/RCTS/formalidades/carta/index.shtml
• Política Anti-SPAM: – http://www.fccn.pt/RCTS/spam/politicaSpam.shtml
• [email protected]• Helpdesk: [email protected]• Osiris/Scale:
– http://www.shmoo.com/tools/