View
2.237
Download
2
Category
Preview:
DESCRIPTION
Palestra apresentada no III ENSOL
Citation preview
Single Packet AuthorizationAumentando a segurança no SSH
Leandro Almeidalcavalcanti.almeida@gmail.com
III ENSOL Liberdade no ExtremoJoão PessoaPB 19,20 e 21 de Junho de 2009
Quem é esse cara ai...?
● Graduado em Redes de Computadores (Antigo CEFETPB)
● PósGraduando em Segurança da Informação (Faculdade iDEZ)
● Analista de Segurança da Informação (Secretaria de Estado da Receita – PB)
● Membro da Comunidade TCOS Brasil
AGENDA
● SSH
● Firewall
● Port Knocking
● Single Packet Authorization
● FWKNOP
● Prática
● Perguntas
Quem aqui usa SSH?
Você acha o SSH seguro?
● CERT® Advisory CA200218 OpenSSH Vulnerabilities in Challenge Response Handling
● USN6491: OpenSSH vulnerabilities
● OpenSSH Security Advisory: cbc.adv Plaintext Recovery Attack Against SSH CPNI957037
● CPNI Vulnerability Advisory SSH – CPNI957037
● openssh vulnerability CVE20080166, http://www.ubuntu.com/usn/usn6121
● O ssh é uma “implementação” do protocolo, e têm falhas
Vem sempre alguém e diz... se não esta seguro coloca um
FIREWALL
Pesquise/Projete uma solução para o seu problema
Senão um atacante pode obter sucesso!
Eis que surge uma luz no fim do túnel
● Port Knocking● Literalmente, “batendo porta”
● A técnica é construída sob uma sequência de pacotes prédeterminados
● Se a sequência estiver errada, nada(acesso SSH) será liberado
● Utiliza os campos reservados para as portas TCP/UDP
● Não utiliza criptografia
1º Momento: AZUL2º Momento: Vermelho3º Momento: Verde
Problemas...
A criptografia não pode ser utilizada
Por algum motivo, os pacotes podem chegar fora de ordem, o que inviabiliza a solução
Um atacante pode ficar “enviando” pacotes para portas aleatórias, quebrando assim a sequência knock de um cliente legítimo
Susceptível a ataques de Replay
E agora? quem poderá nos salvar...
Single Packet Authorization
É uma técnica baseada no Port Knocking
O SPA herda os pontos fortes e corrige as principais falhas do Port Knocking
A aplicação que implementa o SPA é o FWKNOP (FireWall KNock OPerator)
O FWKNOP é um Software Livre mantido por Michael Rash
http://cipherdyne.org/fwknop/
Apenas um pacote é enviado
Corrigindo o problema da entrega fora de ordem
Utiliza a parte de dados do pacote
Corrigindo o problema da criptografia
Cria uma regra temporária no firewall, permitindo o acesso apenas do cliente
Não existe a possibilidade de utilizar o mesmo pacote num intervalo de tempo prédeterminado (default 60s)
Correção de ataques de Replay
Possibilidade de cifrar pacotes com chaves
Simétricas (Rijndael)
Assimétricas (GPG + ElGamal)
Faz a decifragem dos pacotes para a verificação
IP do pacote com o IP contido na área cifrada
Adição de um bloco de conteúdo randômico gerado para cada pacote, permitindo assim a criptografia única
Pacote SPA
Cenário para os testes
1º Momento: Sem SPA
2º Momento: Com SPA
Acesso SSH Liberado \o/
Leandro AlmeidaBlog:leandrocavalcanti.blogspot.comEmail:lcavalcanti.almeida@gmail.com
Obrigado!
Referências● http://www.cipherdyne.org/fwknop/
● http://www.linuxjournal.com/article/9565
● http://www.linux.com/archive/feature/135100
● http://www.jsena.info/downloads/palestras/JansenSena_FISL9_Single_Packet_Authorization.pdf
●
Recommended