segurança em linux - boscojr · 2015. 5. 14. · sobre esse que vos fala... bacharel em ciência...
TRANSCRIPT
-
Segurança em Linux
João Bosco Teixeira Junior
Disponível em:www.boscojr.com/palestras/fafica-jt.pdf
-
Sobre esse que vos fala...● Bacharel em Ciência da Computação – UFPE
(2004)● Especialista em Criptografia e Segurança de
Redes – UFF (2007)● Mestre em Ciências Geodésicas e Tecnologias
da Geoinformação – UFPE (2010)● Analista do Serviço Federal de Processamento
de Dados – SERPRO desde 2004 (Só tecnologias abertas – Graças!)
● Entusiasta de tecnologias abertas (Linux, Arduino, SBCs, Asterisk, etc..)
● Maker de nascença
-
Roteiro● Software Livre e Aberto● Distribuições● Dimensões da Segurança● Boas práticas na administração de sistemas● Segurança de Host● Segurança de Rede● Segurança da Informação● Outros aspectos
-
FOSS – Free and Open Source Software
● 4 Liberdades (Free Software)– Você consegue usar o seu sistema para o que você
quer?– Você consegue estudar o código e modificá-lo
conforme suas necessidades?– Você pode redistribuir o seu programa de forma a
ajudar outras pessoas?– Você pode contribuir com ajustes com os
programas que você usa?
-
Pilares do Software Livre● Usuários● Comunidade● Documentação
O Ministério do SL adiverte:
Antes de adotar um Software Livre ou Aberto verifique o uso do software e principalmente a atividade da
comunidade que o suporta
-
O Trabalho com Software Livre e Aberto
Flexibilidade = ∞
-
O Trabalho com Software Livre e Aberto
-
Linux e Distribuições
-
Distribuições Linux● Kernel Linux + Milhares de Softwares (Pacotes)● Alta capacidade de customização● Publico Alvo x Aplicativos embarcados● Distribuições
– De uso geral: Debian, CentOS– Específicas: Kali (Antigo Backtrack), Ubuntu
Cristian Edition– Com serviço de suporte (Subscrição)
● Red Hat Linux, Oracle Linux, Suse Linux
-
Segurança x Flexibilidade
SEGURANÇA
1FLEXIBILIDADE =
Então:
Segurança = ∞ Flexibilidade = 0
-
Dimensões da Segurança● Sistema● Host● Rede● Informação● Análise em Segurança
-
SEGURANÇA DO SISTEMA
BOAS PRÁTICAS
-
Escolha senhas fortes
Automatic Password Generator# apg
-
Proteja a sua senha
Fonte: http://www.techradar.com/news/software/applications/8-of-the-best-linux-password-managers-916152
Use um Password Manager
Fiagaro's Password Manager, Gpass, Gpassword Manager, Gringotts, KeePassX, MyPasswords, PasswordSafe, Revelation
-
Mantenha o seu sistema atualizado
# apt-get update && apt-get upgrade # yum updateOU
-
Desinstale e/ou Desabilite e os serviços sem uso
# netstat -ntpl
-
Não use a configuração padrão● Hardening de SO e do serviço
– Use checklists– Scripts para SO Linux (Bastille e Lynis)
● Separe partições rw para todos os users– /tmp– /var/tmp
● Use quotas de armazenamento
-
Use distribuições Consolidadas...
-
Ou enterprise ($$)
-
Gestão de Acesso e Usuários● Não usar root para login remoto● Mais sudo e menos su● Remover ou desativar “ex-usuários”
-
Acesso físico● Senha no GRUB● Criptografia de Sistema de Arquivos
-
Faça logs● Questões:
– Centralização– Tempo de Guarda– Armazenamento– Busca de informações
Sorria! Você está sendo logado
-
Use Antivírus?● Recomenda-se uso de Antimalware
– Entidades certificadoras exigem– Interações com MS/Windows
● Clamav
-
SEGURANÇA DO HOST
-
TCP Wrappers● Usado para restringir acesso aos serviços de
rede.● Wrapper: tcpd ● Ou binários linkados com a libwrap● # ldd /usr/sbin/sshd
– linux-gate.so.1 => (0xb7722000)– libwrap.so.0 => /lib/i386-linux-gnu/libwrap.so.0
(0xb7674000)
● /etc/hosts.allow e /etc/hosts.deny– All:200.20.20.20
-
Port Knocking● Single Package Autorization
Fonte: http://www.portknocking.org/
-
Segurança do Host● Fail2ban
– Protege o servidor de ataques de força bruta através da analise de logs de acesso e autenticação.
– Cria regras de iptables ou TCP_WRAPER● OSSEC
– HIDS (Host Based IDS)– Analise de Logs, checa integridade, monitora
registro (Windows), detecção de rootkits– Por responder aos ataques (Prevenção)– Comprada pela TrendMicro
-
SEGURANÇA DA REDE
-
MECANISMOS DE SEGURANÇA
-
MECANISMOS DE SEGURANÇA
-
MECANISMOS DE SEGURANÇA
-
MECANISMOS DE SEGURANÇA
IDS
-
MECANISMOS DE SEGURANÇA
IDSPROXY
-
FIREWALL DO LINUXNETFILTER/IPTABLES
● Iptables: comando de gerenciamento do firewall do kernel Linux (NETFILTER)
● Tabelas: O que fazer com o pacote?● Cadeias: “Tubo ou duto” por onde o pacote
passa● Regras (operam sobre os pacotes)● Firewall
– Padrão: Filtros de Pacotes (1a Geração)– Estados: -m state (2a Geração)– Inspeção de Pacotes: -m string
● Próxima Versão: NFTABLES (Kernel 3.13)
-
NETFILTER/IPTABLESTabelas/Tables
● O que você deseja fazer com o pacote?● Bloquear e Liberar pacotes?
– FILTER● Mudar endereços e/ou portas de origem e/ou
destino do pacote?– NAT
● Mudar outros campos do cabeçalho do pacote– MANGLE– Ex: QoS
● Bloquear e liberar pacotes antes do sistema de processamento do pacote (Connection Tracking).– RAW
-
NETFILTER/IPTABLES(Cadeias ou Chains)
● “Duto” por onde o pacote passa e pode ser manipulado pelas regras
Fonte: http://stuffphilwrites.com/2014/09/iptables-processing-flowchart/
-
Módulos do Iptables● Permite estender as funcionalidades do Iptables● -m limit --limit num/tempo● -m multiport● -m mac● -m owner● -m string (CPU BOUND!)
Fonte: http://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/Firewall_iptables/Outros_m%C3%B3dulos_do_iptables
-
Proxy
● Estima-se que 30% do tempo dos funcionários de uma organização são em atividades recreativas
● Leis que responsabilizam o dono da estrutura● SQUID/DANSGUARDIAN● Dificuldade em classificar o conteúdo
(SQUIDGUARD)– Usar listas livres ou comprar (Squidblacklist.org)
-
IDS/IPSDectecção e Prevenção
● Recebem todo e trafego das redes analisadas● Posicionamento: In-line (SPOF) ou out-of-band● Trabalham com base em conteúdo ou comportamento
do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo
Fonte: http://www.pedropereira.net/ips-ids-o-que-e-tutorial/
-
IDS/IPSDectecção e Prevenção
● Recebem todos os pacotes que trafegam pelas redes analisadas
● In-line vs out-of-band● Trabalham com base em conteúdo ou
comportamento do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo
-
IDS/IPS
Fonte:http://wiki.aanval.com/wiki/Snort_vs_Suricata
-
Segurança da Informação● SSH – Security Shell
– Acesso remoto● GPG (Gnu Privacy Guard) -
https://www.gnupg.org/– Criptografia de chave pública
● Criptografia de FS– Dm-crypt (Nativo)
● Frontend (CryptSetup)– Truecrypt (http://www.truecrypt.org/)
● v.7.2 (05/2015) - Descontinuado– Loop-AES (http://sourceforge.net/projects/loop-
aes/)● V.3.7c (05/2015)
– Enc-FS (https://vgough.github.io/encfs/)● v.1.8.1 (03/2015)
https://www.gnupg.org/
-
Outros Aspectos● Auditoria em Segurança
– Sleuth kit + Autopsy (Frontend)– Kali Linux Distro
● Security vs Safety● Safety preocupa-se com continuidade
– Alta disponibilidade e Recuperação de Desastres
-
Fechamento● Trabalhar com SL é compor soluções;● São muitas as opções de software livre então
escolha com cuidado;● As coisas mudam, então estude;● Segurança deve está em tudo que você faz.
-
Analise os riscos
-
Fim