palestra - fitem 2009 - ferramentas de segurança opensource

Download Palestra - Fitem 2009 - Ferramentas de segurança OpenSource

Post on 06-Jun-2015

2.525 views

Category:

Technology

0 download

Embed Size (px)

TRANSCRIPT

  • 1. Luiz Arthur Feitosa dos Santose-mail: luiz-arthur@unipar.br - luiz.santos.cesumar.br Ferramentas de Segurana Open Source 1

2. Ferramentas de Segurana Open Source 1. SeguranaA segurana no mbito da informtica define-se como: Processo de proteo de informaes e ativos digitais armazenados em computadores e redes de processamento de dados.A intensificao do uso da Internet pelas empresas tornou a segurana um assunto que vem exigindo maiores cuidados do que aqueles at ento existentes. Embora existam pessoas que ainda no do o devido valor a informao presentes nos computadores.Como a informao um dos bens mais valiosos da sociedade atual, muitas das medidas de segurana so dadas pensando-se na segurana da informao. Ento a norma ISO/IEC 27002:2005, define os elementos bsicos da segurana da informao, que so: Confidencialidade: Proteger as informaes confidencias contra revelaes no autorizadas ou captao compreensvel; Disponibilidade: Garantir que informaes e servios vitais estejam disponveis quando requeridos; Integridade: Manter informaes e sistemas computadorizados, dentre outros, ativos, exatos e completos. Luiz Arthur Feitosa dos Santos2 3. Ferramentas de Segurana Open Source 2. Open SourceAntes de falar sobre Open Source, necessrio comentar sobre a filosofia do Software Livre que encontra suas razes na idia da livre troca de conhecimentos e de pensamentos que podem tradicionalmente ser encontrada no campo cientfico.No incio dos anos 80, Richard M. Stallman foi o primeiro a formalizar esta maneira de tratar software e apresentou as quatro liberdades: A liberdade de executar o software, para qualquer uso; A liberdade de estudar o funcionamento de um programa e de adapt-lo s suas necessidades; A liberdade de redistribuir cpias; A liberdade de melhorar o programa e de tornar as modificaes pblicas de modo que a comunidade inteira beneficie da melhoria.A "Definio do Open Source" derivada das "Linhas Diretoras do Software Livre Debian", que derivam das quatro liberdades mencionadas anteriormente. Conseqentemente, as definies descrevem as mesmas licenas que a "Licena Pblica Geral - GNU" (GPL).Ao lado da GPL existem outras licenas que concedem essas liberdades, o que as qualifica de licenas de Software Livre. Uma delas, a licena FreeBSD, que merece uma meno particular. A principal diferena com a GPL que ela no procura proteger a liberdade.Luiz Arthur Feitosa dos Santos 3 4. Ferramentas de Segurana Open Source 3. Antes das Ferramentas a EducaoPara que seja possvel obter um nvel aceitvel de segurana, no basta reunir um conjunto de ferramentas de software e implement-las. Os resultados tornam-se mais eficazes quando sua utilizao est dentro do contexto de um Plano de Segurana, elaborado em conjunto pelos nveis estratgicos, ttico e operacional da organizao. Desta forma, segurana no s uma questo tcnica, mas de poltica e educao.A segurana no uma tecnologia. No possvel comprar dispositivos que torne a rede segura, assim como no possvel comprar ou criar um software capaz de tornar seu computador 100% seguro. O que possvel fazer administrar um nvel aceitvel de risco.A segurana um processo. Pode-se aplicar o processo seguidamente rede e empresa que a mantm e dessa maneira, melhorar a segurana dos sistemas. como subir uma escada rolante que desce.Alguns itens de segurana a serem mantidos que no so necessariamente software: Analise de Riscos: Consiste em um processo de identificao, avaliao dos fatoresde risco presentes, possibilitando uma viso do impacto negativo causado aos negcios; Polticas de Segurana: A poltica de segurana pode ser entendida como sendo umconjunto de normas e diretrizes destinadas a proteo dos ativos da Organizao. Luiz Arthur Feitosa dos Santos4 5. Ferramentas de Segurana Open Source 4. Segurana em Sistemas Operacionais Open SourceA grande maioria dos Sistemas Operacionais Open Source so tidos como muito seguros, porm importante ter-se em mente que no existe um sistema 100% seguro.Quando se fala de sistemas proprietrios versus sistemas open source, algumas questes entram em discusso: 1) Qual mais seguro o Sistema Operacional Microsoft Windows ou o GNU/Linux? 2) O que mais seguro um sistema fechado (proprietrio) ou um sistema aberto (Open Source)? 2) Quanto aos erros de segurana, melhor esconde-los ou divulg-los?As respostas das perguntas anteriores so mais filosficas do que prticas, talvez sejam at impossveis de serem respondidas.Mas, importante saber que mesmo os Sistemas Open Source tem problemas de segurana, tais sistemas so to seguros quanto qualquer Sistema Operacional dito proprietrio, tudo depende de quem est mantendo a segurana.Os Sistemas Operacionais Open Source, tal como o Linux, podem no ser 100% seguros! Mas so ditos seguros devido ao conjunto de ferramentas (principalmente nativas) de gerenciamento e segurana que ajudam a manter um alto nvel de segurana.Luiz Arthur Feitosa dos Santos 5 6. Ferramentas de Segurana Open Source 5. Ferramentas de segurana Open SourceO assunto de segurana de computadores bem vasto, e por isto fascinante e complexo. Desta forma poderamos discutir por exemplo, prticas para programar de forma segura, qual o melhor anti-vrus, como usar melhor o Sistema Operacional, dentre outros.Como as opes de segurana e de ferramentas de segurana so muitas, ns iremos nos concentrar em apenas algumas ferramentas de segurana Open Source, principalmente as relacionadas as redes de computadores, e as j consagradas pela comunidade Open Source.5.1 Firewall com iptables do LinuxA palavra Firewall em sua traduo literal quer dizer parede de fogo, mas na verdade o termo Firewall vem da construo civil e quer dizer parede corta-fogo ou anti-chamas, no qual existe uma parede que resistente ao fogo e permite em caso de incndio que as pessoa possam fugir atravs de escadas que ficam guardadas pela parede anti-chamas que evita a propagao do calor e fumaa. justamente assim que um Firewall trabalha, mantendo-se no meio de duas redes, e bloqueando o perigo (fogo) de uma rede (Internet por exemplo) de outra rede (uma rede privada, por exemplo).O tipo de Firewall mais tradicional o de filtro de pacote, que analisa pacotes de redes e usando regras permite ou bloqueia pacotes em redes ou mquinas.Luiz Arthur Feitosa dos Santos6 7. Ferramentas de Segurana Open Source Iptables o nome da ferramenta Front-End, que permite criao de regras no netfilter, sendo o netfilter parte do kernel do Sistema Operacional GNU/Linux que d a funo de Firewall ao sistema.O Firewall do Linux faz parte do Kernel.SO SO(a)TCP/IP Firewall (b) TCP/IPFirewallO iptables evoluiu do ipwadm (Kernel 2.0) e ipchains (Kernel 2.2) foi concebido por Rusty Russel juntamente com Michel Neuling e includo no Kernel verso 2.4.Ento, o iptables uma ferramenta que manipula o netfilter. O iptables tem basicamente trs funes bsicas: NAT Tabela responsvel por funes de NAT, conhecidas como mascaramento e redirecionamento de pacotes que atravessam o Firewall; Filter Tabela responsvel pela funo bsica do Firewall de filtragem de pacotes de redes; Mangle Tabela que tem como funo tratar os pacotes de forma especial, tal como alterando o campo ToS (Type of Service) do protocolo IP (Internet Protocol) para alterara prioridade de tratamento de pacotes no Firewall.Luiz Arthur Feitosa dos Santos7 8. Ferramentas de Segurana Open Source O iptables em um ambiente host screened, com poltica de negar tudo: 10.0.0.1 10.0.0.2200.1.1.1 Host eth0 eth1Roteador InternetFirewall AADSL iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADEiptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROPiptables -A FORWARD -i eth1 -d 10.0.0.1 -m state --state NEW,INVALID -j DROPiptables -A FORWARD -o eth1 -s 10.0.0.1 -p tcp --dport http -j ACCEPT iptables -A FORWARD -i eth1 -d 10.0.0.1 -p tcp --sport http -j ACCEPTiptables -A FORWARD -o eth1 -s 10.0.0.1 -p udp --dport domain -j ACCEPT iptables -A FORWARD -i eth1 -d 10.0.0.1 -p udp --sport domain -j ACCEPTiptables -A INPUT -i eth0 -s 10.0.0.1 -p tcp --dport ssh -j ACCEPT iptables -A OUTPUT -o eth0 -d 10.0.0.1 -p tcp --sport ssh -j ACCEPT Luiz Arthur Feitosa dos Santos8 9. Ferramentas de Segurana Open Source O iptables em um ambiente host bastion, com poltica de negar tudo: 10.0.0.1 10.0.0.2200.1.1.1 Host eth0 eth1RoteadorInternetFirewall AADSLiptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.0.1iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROPiptables -A FORWARD -d 10.0.0.1 -p tcp --dport http -m state--state NEW,ESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -s 10.0.0.1 -p tcp --sport http -m state--state ESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -s 10.0.0.1 -p udp --dport domain -j ACCEPT iptables -A FORWARD -d 10.0.0.1 -p udp --sport domain -j ACCEPTiptables -A INPUT -i eth0 -s 10.0.0.1 -p tcp --dport ssh -j ACCEPT iptables -A OUTPUT -o eth0 -d 10.0.0.1 -p tcp --sport ssh -j ACCEPTLuiz Arthur Feitosa dos Santos 9 10. Ferramentas de Segurana Open Source 5.2 Firewall com o PF do OpenBSDO PF o Firewall do Sistema Operacional OpenBSD, sendo que o OpenBSD considerado um dos Sistemas Operacionais mais seguros do mundo, mantendo a incrvel marca de apenas dois erros de segurana remotos em mais de 10 anos (na instalao bsica).O cdigo-fonte do OpenBSD passa por auditoria constante e sempre esta na vanguarda quando o assunto segurana, incorporando vrias ferramentas de segurana. Por exemplo: O OpenBSD foi o primeiro a implementar IPSec; A equipe OpenBSD tambm ajudou a desenvolver o OpenSSH, o que torna o OpenBSD um sistema voltado a segurana por natureza.PF ento o Firewall de um dos Sistemas Operacionais mais seguros do mundo e responsvel pelas seguintes funcionalidades: Filtragem de pacotes (Firewall) bem como controle de estados das conexesTCP/IP; Monitorare rearranjar fragmentos de pacotes de diversas formas fazendo normalizao e condicionand