Palestra Ferramentas de Segurança Open Source v.2

Ferramentas de Segurança Open Source

Luiz Arthur1

Universidade Tecnológica Federal do Paraná – UTFPR

Campus:Campo Mourão

Professor:

Luiz Arthur Feitosa dos Santos

Formação:Bacharel em Ciência da ComputaçãoMestre em Ciência da Computação

Certificado Linux Professional Institute – LPI 1

Áreas de Atuação:Sistemas Operacionais

Redes de ComputadoresSegurança da Informação


Luiz Arthur2


Apresentada na:

XIII Semana de Informática e X Mostra de Trabalhos de Iniciação Científica

Sumário:● Segurança;● Open Source;● Sistemas Operacionais;● Firewall;● IDS;● VPN;● Outras Ferramentas;

Antes de tudo:

O que é segurança em sistemas de informática?


Luiz Arthur3

Segurança em sistemas de informática é:

A segurança da informação no âmbito da informática define-se como processo de proteção de informações e ativos digitais armazenados em computadores e/ou redes de processamento de dados.

Segurança não é uma questão técnica, mas sim gerencial, educacional e humana.


Luiz Arthur4

O que ou quem pode gerar problemas de segurança?


Luiz Arthur5

O que ou quem pode gerar problemas de segurança?

A maioria dos problemas de segurança se dão devido a senhas fracas e mau uso dos recursos de informática.

Ao contrário do que a maioria da população acha poucos problemas de segurança estão relacionadas a elaboradas técnicas de invasão.

Veja um índice de quais pessoas provavelmente ocasionarão problemas de segurança em seu sistema:

Provavelmente Com certeza Sim Talvez


Luiz Arthur6

Elementos básicos da segurança da informação

Hoje devemos concentrar nossos esforços para manter a segurança da informação, pois está é nosso bem mais precioso.

Isto é tão importante que alguns órgãos criaram normas para este tipo de segurança, tal como: A série de normas ISO/IEC 27000 tratam de padrões para segurança da informação, tendo como referência ISO/IEC 17799:2005 que por sua vez foi influenciado pelo padrão BS 7799. A ISO/IEC 27002:2005 ainda é chamada de 17799:2005 para fins históricos.

Basicamente os padrões de segurança da informação contemplam os seguintes elementos:

● Confidencialidade;

● Disponibilidade;

● Integridade;

● Não repúdio.


Luiz Arthur7


Luiz Arthur8

Antes das ferramentas de segurança a educação!!!

A segurança da informação de uma empresa não esta ligada somente a produtos voltados à computadores como:

✗Firewall;✗Antivírus; ✗Software de encriptação de dados;✗IDS;✗VPN;✗etc.

Mas sua abrangência vai muito além disso, podendo citar:➢Análise de Risco;➢Política de Segurança;➢Controle de Acesso Físico e Lógico;➢Treinamento e Conscientização;➢Plano de Contingência;➢etc.

A segurança da informação pode e deve ser tratada como um conjunto de mecanismo conforme foi anteriormente exposto, devendo ser adequada à necessidade de cada ambiente.


Luiz Arthur9

Uma premissa de segurança muito importante:

“Não existem sistemas 100% seguros”

Apesar dessa verdade, podemos aumenta no nível de confiabilidade dos sistemas, de modo que possamos evoluir na utilização da tecnologia até um patamar mais confiável e consequentemente mais eficaz.

Segurança é um processo não um produto.

Tempo

Então vamos nos concentrar em ferramentas de segurançaOpen Souce! Mas...

O que é uma ferramenta Open Source?


Luiz Arthur10

Open Source

Antes de falar sobre Open Source, é necessário comentar sobre a filosofia do Software Livre que encontra suas raízes na ideia da livre troca de conhecimentos e de pensamentos que podem tradicionalmente ser encontrada no campo científico.

No início dos anos 80, Richard M. Stallman foi o primeiro a formalizar esta maneira de tratar software e apresentou as quatro liberdades:

● A liberdade de executar o software, para qualquer uso;● A liberdade de estudar o funcionamento de um programa e de adaptá-

lo às suas necessidades;● A liberdade de redistribuir cópias;● A liberdade de melhorar o programa e de tornar as modificações

públicas de modo que a comunidade inteira beneficie da melhoria.

A "Definição do Open Source" é derivada das "Linhas Diretoras do Software Livre Debian", que derivam das quatro liberdades mencionadas anteriormente. Consequentemente, as definições descrevem as mesmas licenças que a "Licença Pública Geral - GNU" (GPL).

Ao lado da GPL existem outras licenças que concedem essas liberdades, o que as qualifica de licenças de Software Livre.


Luiz Arthur11

O que é mais seguro? Sistemas Open Source ou Proprierário?

Quando se fala de sistemas proprietários versus sistemas Open Source, algumas questões entram em discussão:

1) Qual é mais seguro o Sistema Operacional Microsoft Windows ou o GNU/Linux?


Luiz Arthur12

X X

2) O que é mais seguro um sistema “fechado” (proprietário) ou um sistema aberto (Open Source)?

3) Quanto aos erros de segurança, é melhor escondê-los ou divulgá-los?

As respostas das perguntas anteriores são mais filosóficas do que práticas, talvez sejam até impossíveis de serem respondidas.

Mas, é importante saber que mesmo os sistemas Open Source tem problemas de segurança, tais sistemas são tão seguros quanto qualquer sistema dito “proprietário”, tudo depende de quem está mantendo a segurança.


Luiz Arthur13

Ferramentas de segurança Open Source

O assunto de segurança de computadores é bem vasto, por isto fascinante e complexo. Iremos nos concentrar em apenas algumas ferramentas de segurança Open Source, principalmente as relacionadas a infraestrutura.

Sistemas Operacionais Open Source

A grande maioria dos Sistemas Operacionais Open Source são tidos como muito seguros, porém lembre-se não existe um sistema 100% seguro.

Linux, FreeBSD e outros Sistemas Operacionais Open Source são ditos seguros devido ao conjunto de ferramentas (principalmente nativas) de gerenciamento e segurança que ajudam a manter um alto nível de segurança.

Um claro exemplo disso são as permissões de arquivos e diretórios dos sistemas, tal como o Linux:

$ ls -l

drwxr-xr-x 8 luiz users 224 2011-07-29 14:44 web/-rw-r--r-- 1 luiz users 2112 2011-04-22 15:12 xorg.conf


Luiz Arthur14

Firewall com iptables do Linux

A palavra Firewall em sua tradução literal quer dizer parede de fogo, mas na verdade o termo Firewall vem da construção civil e quer dizer parede corta-fogo ou antichamas, no qual existe uma parede que é resistente ao fogo e permite em caso de incêndio que as pessoa possam fugir através de escadas que ficam protegidas pela parede antichamas que evita a propagação do calor e fumaça.

É justamente assim que um Firewall trabalha, mantendo-se no meio de duas redes, e bloqueando o perigo (fogo) de uma rede (Internet) de outra rede (uma rede privada). O tipo de Firewall mais tradicional é o de filtro de pacote, que analisa pacotes de redes e usando regras permite ou bloqueia pacotes em redes ou máquinas.


Luiz Arthur15

Iptables é o nome da ferramenta Front-End, que permite à criação de regras no netfilter, sendo o netfilter parte do Kernel do Sistema Operacional GNU/Linux que dá a função de Firewall ao sistema.

O Firewall do Linux faz parte do Kernel.

O iptables tem basicamente três funções:

● NAT – Tabela responsável por funções de NAT, conhecidas como mascaramento e redirecionamento de pacotes que atravessam o Firewall;

● Filter – Tabela responsável pela função básica do Firewall de filtragem de pacotes de redes;

● Mangle – Tabela que tem como função tratar os pacotes de forma especial, tal como alterando o campo ToS (Type of Service) do protocolo IP (Internet Protocol) para alterar a prioridade de tratamento de pacotes no Firewall.


Luiz Arthur16

O iptables em um ambiente host screened, com política de negar tudo:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP

iptables -A FORWARD -i eth1 -d 10.0.0.1 -m state --state NEW,INVALID -j DROPiptables -A FORWARD -o eth1 -s 10.0.0.1 -p tcp --dport http -j ACCEPTiptables -A FORWARD -i eth1 -d 10.0.0.1 -p tcp --sport http -j ACCEPTiptables -A FORWARD -o eth1 -s 10.0.0.1 -p udp --dport domain -j ACCEPTiptables -A FORWARD -i eth1 -d 10.0.0.1 -p udp --sport domain -j ACCEPT

iptables -A INPUT -i eth0 -s 10.0.0.1 -p tcp --dport ssh -j 5iptables -A OUTPUT -o eth0 -d 10.0.0.1 -p tcp --sport ssh -j ACCEPT


Luiz Arthur17

10.0.0.1 Firewall InternetADSLeth0

10.0.0.2eth1200.0.0.1

O iptables em um ambiente host bastion, com política de negar tudo:

iptables t nat A POSTROUTING o eth1 j MASQUERADEiptables t nat A PREROUTING i eth1 p tcp dport 80 \

j DNAT to 10.0.0.1

iptables P INPUT DROPiptables P OUTPUT DROPiptables P FORWARD DROP

iptables A FORWARD d 10.0.0.1 p tcp dport http m state \state NEW,ESTABLISHED,RELATED j ACCEPT

iptables A FORWARD s 10.0.0.1 p tcp sport http m state \state ESTABLISHED,RELATED j ACCEPT

iptables A FORWARD s 10.0.0.1 p udp dport domain j ACCEPTiptables A FORWARD d 10.0.0.1 p udp sport domain j ACCEPT

iptables A INPUT i eth0 s 10.0.0.1 p tcp dport ssh j ACCEPTiptables A OUTPUT o eth0 d 10.0.0.1 p tcp sport ssh j ACCEPT


Luiz Arthur18

10.0.0.1 Firewall InternetADSLeth0

10.0.0.2eth1200.0.0.1

Firewall com o PF do OpenBSD

O PF é o Firewall do Sistema Operacional OpenBSD, sendo que o OpenBSD é considerado um dos Sistemas Operacionais mais seguros do mundo, mantendo a incrível marca de apenas dois erros de segurança remotos em mais de 10 anos (na instalação básica).

O código-fonte do OpenBSD passa por auditoria constante e sempre esta na vanguarda quando o assunto é segurança, incorporando várias ferramentas de segurança. Por exemplo: O OpenBSD foi o primeiro a implementar IPSec; A equipe OpenBSD também ajudou a desenvolver o OpenSSH, o que torna o OpenBSD um sistema voltado a segurança por natureza.

PF então é o Firewall de um dos Sistemas Operacionais mais seguros do mundo e é responsável pelas seguintes funcionalidades:

● Filtragem de pacotes (Firewall) bem como controle de estados das conexões TCP/IP;

● Monitorar e rearranjar fragmentos de pacotes de diversas formas fazendo normalização e condicionando tráfego TCP/IP;

● Fazer tradução de Endereços de Rede (NAT), bem como redirecionar conexões;

● Realizar controle de banda e priorização de pacotes;● Autenticação de usuários.


Luiz Arthur19

O pf em um ambiente host screened, com política de negar tudo:

ext_if="vic0"int_if="vic1"

scrub in on $ext_ifnat pass on $ext_if from $int_if:network > ($ext_if)

block all

pass in quick on $int_if inet proto tcp from 10.0.0.1 to \($int_if) port ssh

pass in on $int_if inet proto tcp from 10.0.0.1 to any \port http flags S/SA

pass in on $int_if inet proto udp from 10.0.0.1 to any port domain


Luiz Arthur20

10.0.0.1 Firewall InternetADSLvic0

10.0.0.2vic1200.0.0.1

O pf em um ambiente host bastion, com política de negar tudo:

ext_if="vic0"int_if="vic1"

set skip on loscrub in on $ext_if

nat pass on $ext_if from $int_if:network > ($ext_if)rdr pass on $ext_if proto tcp from any to any port http > 10.0.0.1

block all

pass in quick on $int_if inet proto tcp from 10.0.0.1 to \ ($int_if) port ssh

pass out on $int_if inet proto tcp from any to any \ port http flags S/SA

pass in on $int_if inet proto udp from any to any port domain


Luiz Arthur21

10.0.0.1 Firewall InternetADSLvic0

10.0.0.2vic1200.0.0.1

Sistemas de Detecção de Intrusão - IDS

Um IDS ou em português SDI é basicamente um sistema capaz de analisar o tráfego da rede ou o conteúdo de um computador e procurar possíveis tentativas de ataques a segurança.

OSSEC-HIDS

O OSSEC HIDS é um sistema de detecção de intrusão baseado em Host de código fonte aberto que possui como desenvolvedor principal o brasileiro Daniel Cid.

O OSSEC HIDS realiza operações de analise de Logs, integridade de sistemas, monitoração de registros do Windows, detecção de rootkits, alertas e resposta ativa (regras no firewall).

É possível instalar o OSSEC localmente, para monitorar uma única máquina, mas se for necessário monitorar várias máquinas é possível configurar uma como servidor e as demais como agentes, sendo que as agentes iram enviar informações para o gerente que fica responsável por analisar e apresentar as informações geradas pelos IDS, isto dá uma alta escalabilidade ao IDS. O OSSEC pode ser instalado nos seguintes Sistemas Operacionais: OpenBSD, Linux, FreeBSD, Solaris, Windows XP/2000 ( no caso do Windows é somente o agente).


Luiz Arthur22

Tela principal do OSSEC HIDS, um resumo dos principais itens monitorados:


Luiz Arthur23

Snort

Desenvolvido por Marty Roesch em 1998, o Snort é um NIDS, de código fonte aberto, que utiliza o método de detecção baseado em assinaturas. O Snort possui suporte para vários tipos de Sistemas Operacionais Linux e até mesmo para Windows.

O Snort é uma ferramenta muita poderosa, possui vários recursos como:● Farejamento de pacotes (sniffer, tal como o Wireshark);● Registro de pacotes;● Detecção de invasão.

Para se entender melhor estes recursos deve-se primeiramente entender a arquitetura do Snort, esta arquitetura do Snort consiste em quatro componentes básicos, são eles: O farejador(sniffer), o pré-processador, o mecanismo de detecção e a saída


Luiz Arthur24

VPN com o OpenVPN

OpenVPN é uma ferramenta utilizada para criar redes privadas virtuais, ou seja, criar redes privadas dentro de redes públicas como a Internet, sua segurança é baseada na biblioteca OpenSSL que utiliza os protocolos de segurança SSL e o TSL. Tanto o SSL quanto o TSL são protocolos criptográficos que provêem comunicação segura pela Internet para serviços como e-mail, navegação por sites e outros tipos de transferência de dados.

O OpenVPN pode operar de três maneiras: ● Criando apenas o túnel VPN, ou seja, realizar apenas o encapsulamento

dos dados sem utilizar criptografia; ● Utilizar criptografia por chave estática; ● Ou utilizar criptografia por chave dinâmica em que as chaves são

trocadas periodicamente

O OpenVPN trabalha muito bem com NAT, ou seja, não existe problema quando o NAT faz a troca (tradução) do IP da máquina requisitante com o IP do servidor válido para ser usado na Internet, ao contrário do que ocorre na maioria das vezes com o IPSec no OpenSwan.


Luiz Arthur25

Um exemplo de cenário de VPN com o OpenVPN:


Luiz Arthur26

10.0.0.1 Internet200.0.0.1

64.0.0.1ADSL

192.168.0.1 Tunel VPN – 192.168.0.2

Monitorando interface de rede sem VPN, é possível observar os dados do usuário:


Luiz Arthur27

Monitorando interface de rede com o VPN, não é possível observar dados do usuário:


Luiz Arthur28

Existem várias outras ferramentas de segurança Open Source, que merecem destaque:

● Squid - Web proxy, com funções de cache, autenticação, controle de acesso, dentre outras funções, muito usado em conjunto com Firewalls;

● Wireshark – Sniffer de rede usado para monitorar redes de computadores;

● Nmap – ferramenta para mapeamento de redes (IP's, Portas, Sistemas Operacionais);

● SpamAssassim – Ferramenta de controle/filtragem de spam;● Cacti – Ferramento para gerenciamento/monitoramento de rede;● Nessus – Scanner de vulnerabilidades, verificando mais de 10.000

vulnerabilidades nos mais diversos Sistemas Operacionais, usa licença GPL e mas não tem código fonte aberto;

● Kismet – Analisador de redes sem fio, usado para prevenir ou realizar wardrivers;

● OpenSSH – Software para administração remota, que pode substituir o TELNET e FTP, além de permitir a criação de VPN's de forma bem simples;

● John the Ripper – Usado para descobrir senhas dos Sistemas Operacionais, útil para descobrir senhas fracas no sistema;

Existem várias ferramentas que ajudam a manter a segurança, tanto Open Source quanto proprietárias, mas uma coisa é certa de nada adianta ferramentas de segurança, sem um bom profissional.


Luiz Arthur29

Bibliografia

TANENBAUM, Andrew S. Redes de Computadores. Editora Campus, 4 Edição. 2003.

COMER, Douglas E. Interligação de Redes com TCP/IP, volume 1. EditoraCampus, 5 Edição. 2006.

BURNS, Bryan; et al. Security Power Tools. Editora O'Reilly. 2007.

SONNENREICH, Wes; YATES, Tom. Building Linux and OpenBSD Firewalls. Editora Wiley. 2000.

FEILNER, Markus. OpenVPN Building and Integrating Virtual Private Networks. Editora Packt. 2006.

ARTYMIAK, Jacek. Building Firewalls with OpenBSD and PF. 2 Edição. 2003.OPENBSD. OpenBSD Packet Filter. Disponível www.openbsd.org/faq/pf/pt/index.html. Acessado em: 2007.


Luiz Arthur30

Agradecimentos:

Narci Nogueira da SilvaDiretor da UTFPR-CM

Ana Paula Chaves Steinmacher Coordenadora do Curso de TSI da UTFPR - CM

Claudete WernerCoordenadora do Curso de SI da UNIPAR - Paranavaí

Principalmente aos Amigos e Alunos da UNIPAR – Paranavaí

Obrigado!


Luiz Arthur31

Contatos

● Blog:http://profluizarthur.wordpress.com/

http://www.slideshare.net/luiz_arthur

● E-mail's:

[email protected]

[email protected]

● Twitter:@luiz_arthur

http://twitter.com/#!/luiz_arthur


Luiz Arthur32

http://profluizarthur.wordpress.com/

http://www.slideshare.net/luiz_arthur

mailto:[email protected]

mailto:[email protected]

http://twitter.com/#!/luiz_arthur

Fim!


Luiz Arthur33

Technology

Palestra Ferramentas de Segurança Open Source v.2