Este documento discute a implantação de sistemas de segurança com Linux em ambientes corporativos. Ele aborda tópicos como configuração segura do Linux, uso do Linux em ambientes corporativos e sistemas de segurança baseados em Linux, como Tripwire.
1. LSI TEC (c) 2000 1
Implantação de Sistemas de
Segurança com Linux
Volnys Borges Bernal
Frank Meylan
Adilson Guelfi
Matteo Nava
{volnys,meylan,guelfi,ilnava}@lsi.usp.br
Núcleo de Segurança e Redes de Alta Velocidade
Laboratório de Sistemas Integráveis
Escola Politécnica da USP
http://www.lsi.usp.br/~nsrav
2. LSI TEC (c) 2000 2
Agenda
o Configuração Segura Linux
o Linux em Ambiente Corporativo
o Sistemas de segurança Baseados em Linux
4. LSI TEC (c) 2000 4
Configuração Segura Linux
o A maior parte das distribuições Linux utiliza uma
instalação default que não é ideal para ser utilizada em
um ambiente corporativo
o Em um ambiente corporativo geralmente é necessário
um sistema operacional seguro
5. LSI TEC (c) 2000 5
Configuração Segura Linux
o Segurança no boot
X Senhas BIOS
X Segurança Física
X Senha LILO + proteção do arquivo
X Modo single-user seguro
6. LSI TEC (c) 2000 6
Configuração Segura Linux
(1) Habilitar senha no monitor
X Objetivo:
êEvita que usuários digitem linhas de comando no monitor para,
por exemplo:
u realizar o boot de um outro dispositivo
u realizar o boot no modo single-user (perigoso se não requisitar
a senha do administrador)
u mudar seqüência de boot (arquiteturas PC)
X Restrições
êArquiteturas PC: algumas BIOS possuem uma senha mestre que
geralmente são conhecidas pela equipe de manutenção e
“hackers”
êÉ também possível apagar a senha realizando curtocircuito em
determinados terminais da flash-ROM
7. LSI TEC (c) 2000 7
Configuração Segura Linux
(2) Segurança física
X Objetivo
êImpedir que a flash-ROM seja apagada, eliminando a senha do
monitor.
êImpedir que um disco seja roubado.
X Restrições
êImportante nos servidores que possuam informações sensíveis
X Como proceder
êRestrição de acesso físico à sala
êRestrição física de acesso ao interior do equipamento
8. LSI TEC (c) 2000 8
Configuração Segura Linux
(3) Configuração do dispositivo de boot default
X Objetivo
êImpedir que seja realizado o boot por um dispositivo removível
X Como proceder
êEm arquiteturas PC, a lista de dispositivos a serem testados para
carga do programa de boot deve incluir somente o dispositivo
associado à partição raiz. Nunca incluir na lista dispositivos
removíveis
9. LSI TEC (c) 2000 9
Configuração Segura Linux
(4) Modo single-user seguro
X Objetivo
êRequisitar a senha do administrador quando entra em modo
single-user
X Como configurar no Linux RedHat ou debian
êDeve existir a seguinte linha no arquivo /etc/inittab:
u su:S:wait:/sbin/sulogin
10. LSI TEC (c) 2000 10
Configuração Segura Linux
(5) Habilitar modo seguro do LILO (Linux RedHat / Debian)
X Objetivo
êEvitar que o usuário possa modificar parâmetros de carga (boot)
do linux através do LILO.
êPara isto é necessário informar uma senha.
X Como proceder
êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf:
u restricted
u password = <senha>
êModificar a permissão do arquivo /etc/lilo.conf para leitura e
escrita somente pelo root
11. LSI TEC (c) 2000 11
Configuração Linux Segura
o Opções de operação do kernel
X Disponíveis em /proc/sys/net/ipv4
êicmp_echo_ignore_all (desabilitar se não for necessário)
êicmp_echo_ignore_broadcast (desabilitar)
êip_forward (desabilitar se não for necessário)
êip_masq_debug (habilitar)
êtcp_syncookies (habilitar)
êrp_filter (habilitar)
êsecure_redirects (habilitar)
êlog_martians (habilitar)
êaccept_source_route (desabilitar)
12. LSI TEC (c) 2000 12
Configuração Linux Segura
o Segurança de senhas
X Habilitar Shadow
êColocação das senhas em arquivo protegido
(/etc/shadow)
X Habilitar Aging
êForçar mudança periódica das senhas pelos usuários
13. LSI TEC (c) 2000 13
Configuração Segura Linux
o Configuração dos serviços de rede
X Somente os serviços de rede estritamente necessários
X Desabilitar os processos não necessários
X Estes processos podem ser disparados
êAtravés de script
u Scripts em /etc/rc.d/init?.d
u chkconfig - utilitário para habilitar/ desabilitar serviços
êAtravés do daemon inetd
u Arquivo de configuração: /etc/inetd.conf
18. LSI TEC (c) 2000 18
Configuração Segura Linux
o Configurar TCP Wrappers
X Serviço de controle de acesso a serviços Internet:
êTambém chamado de “tcp_log”
êPermite restringir e monitorar (via syslog) requisições para
serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros
X Funcionalidades
êLog
u As conexões são monitoradas através do syslog.
êControle de acesso
u Configurado através dos arquivos:
Õ/etc/hosts.allow
Õ/etc/hosts.deny
19. LSI TEC (c) 2000 19
Configuração Segura Linux
o Configurar TCP Wrappers (cont.)
X Exemplo de configuração:
ê/etc/hosts.allow
u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID
u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID
u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0
u ftpd: ALL EXCEPT PARANOID
ê/etc/hosts.deny
u ALL: ALL
20. LSI TEC (c) 2000 20
Configuração Segura Linux
o Utilizar SSH em substituição ao telnet/ftp
X Instalar OpenSSH
o Configuração correta de hora/data
X Utilizar protocolos de sincronização de relógio:
êntpdate / xntp
o Configurar terminais seguros
X /etc/securetty
o Customizar serviço de log
X /etc/syslog.conf
X direcionar uma cópia para o servidor central de log
21. LSI TEC (c) 2000 21
Configuração Linux Segura
o Habilitar sudo
X Permite que um determinado utilitário seja executado com
privilégio de administrador
X Realiza log das atividades
o Instalar e configurar Tripwire
X Detecção de intrusão de host
o Segurança X-windows
X Habilitar X-windows somente se for necessário
22. LSI TEC (c) 2000 22
Configuração Linux Segura
o Bastile Linux Project
X Script de auxílio na configuração de um sistema LINUX seguro
X www.bastile-linux.org
23. LSI TEC (c) 2000 23
Linux em Ambiente Corporativo
24. LSI TEC (c) 2000 24
Linux em Ambiente Corporativo
o Pode ser utilizado para várias finalidades distintas:
(1) Como desktop para usuários
(2) Como servidor
êServidores para Intranet
êServidores para Internet
êServidor Gateway
(3) Como plataforma para auditoria e análise de segurança
(4) Como plataforma de desenvolvimento
(5) Outros
25. LSI TEC (c) 2000 25
Linux em Ambiente Corporativo
o (1) Como desktop para os usuários
X Linux em substituição aos sistemas Windows9x nos desktops
X Vantagens
êSistema operacional seguro
u Classes distintas de usuários
ÕAdministrador / Usuário Normal
u Criação de LOGs para auditoria
êCusto
X Desvantagem
êExistem ainda algumas tarefas que não podem ser realizadas
em ambiente gráfico
êTreinamento de usuários
26. LSI TEC (c) 2000 26
Linux em Ambiente Corporativo
Internet
DMZ Intranet
DMZ
DNS Proxy WEB DNS p/ WEB p/ Arquivos
Intranet Intranet
MAIL ? ? Log ? Clientes
27. LSI TEC (c) 2000 27
Linux em Ambiente Corporativo
Internet
Roteamento
Filtros
NAT/Masquerade
DMZ Proxy reverso
VPN
DMZ Intranet
Endereçamento Endereçamento
Privado Privado
28. LSI TEC (c) 2000 28
Linux em Ambiente Corporativo
o (2) Linux como Servidor
X Servidores para Intranet
êServidor de arquivos
u NFS (UNIX), SAMBA (MS-Windows)
êServidor WEB para a Intranet
u Apache, Netscape
êServidor DNS para a Intranet
u BIND
êServidor de Log
u Syslog (nativo)
êOutros serviços (Ex. Banco de Dados)
29. LSI TEC (c) 2000 29
Linux em Ambiente Corporativo
o (2) Linux como Servidor (cont.)
X Servidores para DMZ
êServidor DNS
u BIND
êServidor WEB
u Apache, Netscape
êServidor PROXY
u Squid
êServidor E-MAIL
u sendmail
u qmail
30. LSI TEC (c) 2000 30
Linux em Ambiente Corporativo
o (2) Linux como Servidor (cont.)
X Servidores Gateways
êRoteamento
êFiltro de pacotes
êNAT / Masquerade
êTransparent Proxy
êProxy Reverso
êVPN
êTambém possível alguns firewalls comerciais
31. LSI TEC (c) 2000 31
Linux em Ambiente Corporativo
X Servidores Gateways (cont.)
êVantagens
u Desempenho
u Suporte a Hardware
ÕFlexibilidade (comparado a outros UNIX)
ÕCusto (comparado a outros UNIX)
ÕAtualização
u Suporte para diversos protocolos
ÕEthernet/FastEthernet/GigabitEthernet
ÕISDN / X25 / X21
ÕIPv4, IPX, IPv6
u Suporte a
ÕIP-Chains (filtros, NAT, masquerade)
u Custo do software
32. LSI TEC (c) 2000 32
Linux em Ambiente Corporativo
o (3) Como plataforma para Auditoria e Análise de
segurança
X Linux para a equipe de segurança / auditoria
X Ferramentas:
êAnalisadores de vulnerabilidades
u Nessus
êDetetores de intrusão de rede
u Snort
33. LSI TEC (c) 2000 33
Sistemas de segurança para Linux
34. LSI TEC (c) 2000 34
Sistemas de segurança para Linux
o Codificação de senhas com MD5
X Permite utilização de senhas com até 256 caracteres
X Utiliza codificação hash MD5
o John The Ripper
X Avaliador de senhas vulneráveis
X Permite detectar senhas “fracas” no sistema
X www.openwall.com/john
o Crack
X Avaliador de senhas vulneráveis
35. LSI TEC (c) 2000 35
Sistemas de segurança para Linux
o Tripwire
X Detector de intrusão, baseado em host
X Versão comercial: www.tripwire.com
X Versão livre: www.tripwire.org
o AIDE
X Detector de intrusão, baseado em host
êwww.cs.tut.fi/~rammer/aide.html
36. LSI TEC (c) 2000 36
Sistemas de segurança para Linux
o OpenSSH
X Implementação livre do protocolo SSH (Secure Shell)
X SSH1 / SSH2: Padrão Internet
X “Telnet” criptografado e autenticado
X “FTP” criptografado e autenticado
X Canais X-windows criptografados e autenticados
X www.openssh.com
o S/Key
X One Time Password
X Implementação em software
37. LSI TEC (c) 2000 37
Sistemas de segurança para Linux
o SQUID
X Servidor PROXY
X Permite definir ACL
êControle de acesso a páginas pelos usuários
êFiltros por URL
X LOG de acessos
X Squid Web Proxy Cache
êwwww.squid-cache.org
38. LSI TEC (c) 2000 38
Sistemas de segurança para Linux
o NAT x ProxyReverso (xinetd)
Servidor
Proxy xinetd
Reverso
TCP
TCP UDP
UDP TCP UDP
TCP UDP
ΝΑΤ
ICMP IGMP
ICMP IGMP ICMP IGMP
ICMP IGMP
IP
IP IP
IP
ARP RARP
ARP RARP ARP RARP
ARP RARP
Ethernet
Ethernet Ethernet
Ethernet
39. LSI TEC (c) 2000 39
Sistemas de segurança para Linux
Internet
Filtros
DMZ Intranet
DMZ
DNS Proxy WEB DNS p/ WEB p/ Arquivos
Intranet Intranet
MAIL ? ? Log ? Clientes
40. LSI TEC (c) 2000 40
Sistemas de segurança para Linux
Internet
Masquerade
(troca de endereços N-1)
DMZ Intranet
DMZ
DNS Proxy WEB DNS p/ WEB p/ Arquivos
Intranet Intranet
MAIL ? ? Log ? Clientes
41. LSI TEC (c) 2000 41
Sistemas de segurança para Linux
Internet
Proxy
DMZ Reverso
Intranet
DMZ
DNS Proxy WEB DNS p/ WEB p/ Arquivos
Intranet Intranet
MAIL ? ? Log ? Clientes
42. LSI TEC (c) 2000 42
Sistemas de segurança para Linux
o xinetd
X Proxy Reverso
X Permite uma conexão de uma porta para uma outra porta em
um outro host
o IPChains / IPMasqadm
X Permite configurar opções do kernel para:
êFiltros de pacotes
êNAT - Network Address Translation
êMasquerade
o Problemas
X Log no masquerade (muito log)
X Log nos servidores (a identificação da máquina origem é da sua
máquina gateway)
43. LSI TEC (c) 2000 43
Sistemas de segurança para Linux
o NMAP
X Scanner de IP e Portas
X www.insecure.org/nmap
o SAINT
X Analisador de vulnerabilidade (network based)
o NESSUS
X Scanner de IP e Portas
X Analisador de vulnerabilidade (network based)
44. LSI TEC (c) 2000 44
Sistemas de segurança para Linux
o SHADOW
X Detector de intrusão (network based)
X The SANS Institute
o SNORT
X Detector de intrusão (network based)
X www.snort.org
45. LSI TEC (c) 2000 45
Sistemas de segurança para Linux
o Firewalls Comerciais
X Firewall-1
êwwww.checkpoint.com
X Aker Firewall
êwwww.aker.com.br
X Phoenix Adaptive Firewall
êwww.progressive-systems.com
46. LSI TEC (c) 2000 46
Sistemas de segurança para Linux
o Kerberos
X Sistemas de Autenticação e Confidencialidade
o Free Secure WAN
X Virtural Private Network
X Canal seguro para interligação de redes
X Implementa IPSEC
X VPN de
êhost
êrede
47. LSI TEC (c) 2000 47
Sistemas de segurança para Linux
o Servidor Central de Log
X Objetivo
êMáquina confiável que centralize o log de todas as máquinas do
sistema
X Como configurar
êRealizar a configuração segura Linux
êDesabilitar todos os servicos de rede
êPermitir acesso somente pelo administrador via console
48. LSI TEC (c) 2000 48
Obrigado
NSRAV
Núcleo de Segurança e Redes de Alta Velocidade
Laboratório de Sistemas Integráveis
Escola Politécnica da USP
volnys@lsi.usp.br
meylan@lsi.usp.br