LSI TEC (c) 2000   1  Implantação de Sistemas de     Segurança com Linux            Volnys Borges Bernal                Fr...
LSI TEC (c) 2000   2Agendao   Configuração Segura Linuxo   Linux em Ambiente Corporativoo   Sistemas de segurança Baseados...
LSI TEC (c) 2000   3Configuração Segura Linux
LSI TEC (c) 2000   4Configuração Segura Linuxo   A maior parte das distribuições Linux utiliza uma    instalação default q...
LSI TEC (c) 2000   5Configuração Segura Linuxo   Segurança no boot    X   Senhas BIOS    X   Segurança Física    X   Senha...
LSI TEC (c) 2000   6 Configuração Segura Linux(1) Habilitar senha no monitor   X Objetivo:      êEvita que usuários digite...
LSI TEC (c) 2000   7Configuração Segura Linux(2) Segurança física   X Objetivo      êImpedir que a flash-ROM seja apagada,...
LSI TEC (c) 2000    8Configuração Segura Linux(3) Configuração do dispositivo de boot default   X Objetivo      êImpedir q...
LSI TEC (c) 2000   9Configuração Segura Linux(4) Modo single-user seguro   X Objetivo      êRequisitar a senha do administ...
LSI TEC (c) 2000   10Configuração Segura Linux(5) Habilitar modo seguro do LILO (Linux RedHat / Debian)   X Objetivo      ...
LSI TEC (c) 2000   11Configuração Linux Segurao   Opções de operação do kernel    X Disponíveis em /proc/sys/net/ipv4     ...
LSI TEC (c) 2000   12Configuração Linux Segurao   Segurança de senhas    X Habilitar Shadow       êColocação das senhas em...
LSI TEC (c) 2000   13Configuração Segura Linuxo   Configuração dos serviços de rede    X Somente os serviços de rede estri...
LSI TEC (c) 2000    14Configuração Segura Linuxo   Configuração dos serviços de rede (cont.)    X Daemon inetd - Exemplo d...
LSI TEC (c) 2000   15 Daemon inetd (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas p...
LSI TEC (c) 2000   16 Daemon inetd (4) Recebimento de um pedido de conexão na porta 23    (telnet)                        ...
LSI TEC (c) 2000   17 Daemon inetd (5) Inetd dispara daemon associado (telnetd)                           telnetd         ...
LSI TEC (c) 2000     18Configuração Segura Linuxo   Configurar TCP Wrappers    X Serviço de controle de acesso a serviços ...
LSI TEC (c) 2000   19Configuração Segura Linuxo   Configurar TCP Wrappers (cont.)    X Exemplo de configuração:       ê/et...
LSI TEC (c) 2000   20Configuração Segura Linuxo   Utilizar SSH em substituição ao telnet/ftp    X Instalar OpenSSHo   Conf...
LSI TEC (c) 2000   21Configuração Linux Segurao   Habilitar sudo    X Permite que um determinado utilitário seja executado...
LSI TEC (c) 2000   22Configuração Linux Segurao   Bastile Linux Project    X Script de auxílio na configuração de um siste...
LSI TEC (c) 2000   23Linux em Ambiente Corporativo
LSI TEC (c) 2000   24Linux em Ambiente Corporativoo   Pode ser utilizado para várias finalidades distintas:    (1) Como de...
LSI TEC (c) 2000    25Linux em Ambiente Corporativoo   (1) Como desktop para os usuários    X Linux em substituição aos si...
LSI TEC (c) 2000      26Linux em Ambiente Corporativo                    Internet       DMZ                             In...
LSI TEC (c) 2000   27 Linux em Ambiente Corporativo                Internet                             Roteamento        ...
LSI TEC (c) 2000   28Linux em Ambiente Corporativoo   (2) Linux como Servidor    X Servidores para Intranet       êServido...
LSI TEC (c) 2000   29Linux em Ambiente Corporativoo   (2) Linux como Servidor (cont.)    X Servidores para DMZ       êServ...
LSI TEC (c) 2000   30Linux em Ambiente Corporativoo   (2) Linux como Servidor (cont.)    X Servidores Gateways       êRote...
LSI TEC (c) 2000   31Linux em Ambiente Corporativo X Servidores Gateways (cont.)    êVantagens        u Desempenho        ...
LSI TEC (c) 2000   32Linux em Ambiente Corporativoo   (3) Como plataforma para Auditoria e Análise de    segurança    X Li...
LSI TEC (c) 2000   33Sistemas de segurança para Linux
LSI TEC (c) 2000   34Sistemas de segurança para Linuxo   Codificação de senhas com MD5    X Permite utilização de senhas c...
LSI TEC (c) 2000   35Sistemas de segurança para Linuxo   Tripwire    X Detector de intrusão, baseado em host    X Versão c...
LSI TEC (c) 2000   36Sistemas de segurança para Linuxo   OpenSSH    X   Implementação livre do protocolo SSH (Secure Shell...
LSI TEC (c) 2000   37Sistemas de segurança para Linuxo   SQUID    X Servidor PROXY    X Permite definir ACL       êControl...
LSI TEC (c) 2000         38Sistemas de segurança para Linuxo   NAT x ProxyReverso (xinetd)                                ...
LSI TEC (c) 2000      39Sistemas de segurança para Linux                         Internet               Filtros       DMZ ...
LSI TEC (c) 2000      40Sistemas de segurança para Linux                             Internet  Masquerade  (troca de ender...
LSI TEC (c) 2000      41Sistemas de segurança para Linux                     Internet               Proxy       DMZ     Re...
LSI TEC (c) 2000   42Sistemas de segurança para Linuxo   xinetd    X Proxy Reverso    X Permite uma conexão de uma porta p...
LSI TEC (c) 2000   43Sistemas de segurança para Linuxo   NMAP    X Scanner de IP e Portas    X www.insecure.org/nmapo   SA...
LSI TEC (c) 2000   44Sistemas de segurança para Linuxo   SHADOW    X Detector de intrusão (network based)    X The SANS In...
LSI TEC (c) 2000   45Sistemas de segurança para Linuxo   Firewalls Comerciais    X Firewall-1       êwwww.checkpoint.com  ...
LSI TEC (c) 2000   46Sistemas de segurança para Linuxo   Kerberos    X Sistemas de Autenticação e Confidencialidadeo   Fre...
LSI TEC (c) 2000   47Sistemas de segurança para Linuxo   Servidor Central de Log    X Objetivo       êMáquina confiável qu...
LSI TEC (c) 2000   48                  Obrigado                   NSRAVNúcleo de Segurança e Redes de Alta Velocidade     ...
Próximos SlideShares
Carregando em…5
×

Implatação de Sistemas de Segurança com Linux

579 visualizações

Publicada em

Deixe mensagem para disponiblizar o download.

Publicada em: Dispositivos e hardware
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
579
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
23
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Implatação de Sistemas de Segurança com Linux

  1. 1. LSI TEC (c) 2000 1 Implantação de Sistemas de Segurança com Linux Volnys Borges Bernal Frank Meylan Adilson Guelfi Matteo Nava {volnys,meylan,guelfi,ilnava}@lsi.usp.brNúcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP http://www.lsi.usp.br/~nsrav
  2. 2. LSI TEC (c) 2000 2Agendao Configuração Segura Linuxo Linux em Ambiente Corporativoo Sistemas de segurança Baseados em Linux
  3. 3. LSI TEC (c) 2000 3Configuração Segura Linux
  4. 4. LSI TEC (c) 2000 4Configuração Segura Linuxo A maior parte das distribuições Linux utiliza uma instalação default que não é ideal para ser utilizada em um ambiente corporativoo Em um ambiente corporativo geralmente é necessário um sistema operacional seguro
  5. 5. LSI TEC (c) 2000 5Configuração Segura Linuxo Segurança no boot X Senhas BIOS X Segurança Física X Senha LILO + proteção do arquivo X Modo single-user seguro
  6. 6. LSI TEC (c) 2000 6 Configuração Segura Linux(1) Habilitar senha no monitor X Objetivo: êEvita que usuários digitem linhas de comando no monitor para, por exemplo: u realizar o boot de um outro dispositivo u realizar o boot no modo single-user (perigoso se não requisitar a senha do administrador) u mudar seqüência de boot (arquiteturas PC) X Restrições êArquiteturas PC: algumas BIOS possuem uma senha mestre que geralmente são conhecidas pela equipe de manutenção e “hackers” êÉ também possível apagar a senha realizando curtocircuito em determinados terminais da flash-ROM
  7. 7. LSI TEC (c) 2000 7Configuração Segura Linux(2) Segurança física X Objetivo êImpedir que a flash-ROM seja apagada, eliminando a senha do monitor. êImpedir que um disco seja roubado. X Restrições êImportante nos servidores que possuam informações sensíveis X Como proceder êRestrição de acesso físico à sala êRestrição física de acesso ao interior do equipamento
  8. 8. LSI TEC (c) 2000 8Configuração Segura Linux(3) Configuração do dispositivo de boot default X Objetivo êImpedir que seja realizado o boot por um dispositivo removível X Como proceder êEm arquiteturas PC, a lista de dispositivos a serem testados para carga do programa de boot deve incluir somente o dispositivo associado à partição raiz. Nunca incluir na lista dispositivos removíveis
  9. 9. LSI TEC (c) 2000 9Configuração Segura Linux(4) Modo single-user seguro X Objetivo êRequisitar a senha do administrador quando entra em modo single-user X Como configurar no Linux RedHat ou debian êDeve existir a seguinte linha no arquivo /etc/inittab: u su:S:wait:/sbin/sulogin
  10. 10. LSI TEC (c) 2000 10Configuração Segura Linux(5) Habilitar modo seguro do LILO (Linux RedHat / Debian) X Objetivo êEvitar que o usuário possa modificar parâmetros de carga (boot) do linux através do LILO. êPara isto é necessário informar uma senha. X Como proceder êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf: u restricted u password = <senha> êModificar a permissão do arquivo /etc/lilo.conf para leitura e escrita somente pelo root
  11. 11. LSI TEC (c) 2000 11Configuração Linux Segurao Opções de operação do kernel X Disponíveis em /proc/sys/net/ipv4 êicmp_echo_ignore_all (desabilitar se não for necessário) êicmp_echo_ignore_broadcast (desabilitar) êip_forward (desabilitar se não for necessário) êip_masq_debug (habilitar) êtcp_syncookies (habilitar) êrp_filter (habilitar) êsecure_redirects (habilitar) êlog_martians (habilitar) êaccept_source_route (desabilitar)
  12. 12. LSI TEC (c) 2000 12Configuração Linux Segurao Segurança de senhas X Habilitar Shadow êColocação das senhas em arquivo protegido (/etc/shadow) X Habilitar Aging êForçar mudança periódica das senhas pelos usuários
  13. 13. LSI TEC (c) 2000 13Configuração Segura Linuxo Configuração dos serviços de rede X Somente os serviços de rede estritamente necessários X Desabilitar os processos não necessários X Estes processos podem ser disparados êAtravés de script u Scripts em /etc/rc.d/init?.d u chkconfig - utilitário para habilitar/ desabilitar serviços êAtravés do daemon inetd u Arquivo de configuração: /etc/inetd.conf
  14. 14. LSI TEC (c) 2000 14Configuração Segura Linuxo Configuração dos serviços de rede (cont.) X Daemon inetd - Exemplo de arquivo /etc/inetd.confftp stream tcp nowait root /bin/ftpd ftpdtelnet stream tcp nowait root /bin/telnetd telnetdlogin stream tcp nowait root /sbin/rlogind rlogindshell stream tcp nowait root /bin/rshd rshdcfinger stream tcp nowait guest /bin/fingerd fingerd#bootp dgram udp wait root /sbin/bootpd bootpd -fpop-2 stream tcp nowait root /sbin/ipop2d ipop2dpop-3 stream tcp nowait root /sbin/ipop3d ipop3dtime stream tcp nowait root internaltime dgram udp wait root internalrusersd dgram rpc/usd wait root /bin/rusersd rusersd
  15. 15. LSI TEC (c) 2000 15 Daemon inetd (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas portas necessárias (3) Aguarda conexões inetd open passivo 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpdtelnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetdlogin stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  16. 16. LSI TEC (c) 2000 16 Daemon inetd (4) Recebimento de um pedido de conexão na porta 23 (telnet) inetd 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpdtelnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetdlogin stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  17. 17. LSI TEC (c) 2000 17 Daemon inetd (5) Inetd dispara daemon associado (telnetd) telnetd inetd open passivo 21 23 513 ftp telnet login TCPArquivo /etc/inetd.conf:ftp stream tcp nowait root /usr/sbin/ftpd ftpdtelnet stream tcp nowait root /usr/sbin/telnetd telnetdlogin stream tcp nowait root /usr/sbin/rlogind rlogind
  18. 18. LSI TEC (c) 2000 18Configuração Segura Linuxo Configurar TCP Wrappers X Serviço de controle de acesso a serviços Internet: êTambém chamado de “tcp_log” êPermite restringir e monitorar (via syslog) requisições para serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros X Funcionalidades êLog u As conexões são monitoradas através do syslog. êControle de acesso u Configurado através dos arquivos: Õ/etc/hosts.allow Õ/etc/hosts.deny
  19. 19. LSI TEC (c) 2000 19Configuração Segura Linuxo Configurar TCP Wrappers (cont.) X Exemplo de configuração: ê/etc/hosts.allow u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0 u ftpd: ALL EXCEPT PARANOID ê/etc/hosts.deny u ALL: ALL
  20. 20. LSI TEC (c) 2000 20Configuração Segura Linuxo Utilizar SSH em substituição ao telnet/ftp X Instalar OpenSSHo Configuração correta de hora/data X Utilizar protocolos de sincronização de relógio: êntpdate / xntpo Configurar terminais seguros X /etc/securettyo Customizar serviço de log X /etc/syslog.conf X direcionar uma cópia para o servidor central de log
  21. 21. LSI TEC (c) 2000 21Configuração Linux Segurao Habilitar sudo X Permite que um determinado utilitário seja executado com privilégio de administrador X Realiza log das atividadeso Instalar e configurar Tripwire X Detecção de intrusão de hosto Segurança X-windows X Habilitar X-windows somente se for necessário
  22. 22. LSI TEC (c) 2000 22Configuração Linux Segurao Bastile Linux Project X Script de auxílio na configuração de um sistema LINUX seguro X www.bastile-linux.org
  23. 23. LSI TEC (c) 2000 23Linux em Ambiente Corporativo
  24. 24. LSI TEC (c) 2000 24Linux em Ambiente Corporativoo Pode ser utilizado para várias finalidades distintas: (1) Como desktop para usuários (2) Como servidor êServidores para Intranet êServidores para Internet êServidor Gateway (3) Como plataforma para auditoria e análise de segurança (4) Como plataforma de desenvolvimento (5) Outros
  25. 25. LSI TEC (c) 2000 25Linux em Ambiente Corporativoo (1) Como desktop para os usuários X Linux em substituição aos sistemas Windows9x nos desktops X Vantagens êSistema operacional seguro u Classes distintas de usuários ÕAdministrador / Usuário Normal u Criação de LOGs para auditoria êCusto X Desvantagem êExistem ainda algumas tarefas que não podem ser realizadas em ambiente gráfico êTreinamento de usuários
  26. 26. LSI TEC (c) 2000 26Linux em Ambiente Corporativo Internet DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  27. 27. LSI TEC (c) 2000 27 Linux em Ambiente Corporativo Internet Roteamento Filtros NAT/Masquerade DMZ Proxy reverso VPN DMZ IntranetEndereçamento Endereçamento Privado Privado
  28. 28. LSI TEC (c) 2000 28Linux em Ambiente Corporativoo (2) Linux como Servidor X Servidores para Intranet êServidor de arquivos u NFS (UNIX), SAMBA (MS-Windows) êServidor WEB para a Intranet u Apache, Netscape êServidor DNS para a Intranet u BIND êServidor de Log u Syslog (nativo) êOutros serviços (Ex. Banco de Dados)
  29. 29. LSI TEC (c) 2000 29Linux em Ambiente Corporativoo (2) Linux como Servidor (cont.) X Servidores para DMZ êServidor DNS u BIND êServidor WEB u Apache, Netscape êServidor PROXY u Squid êServidor E-MAIL u sendmail u qmail
  30. 30. LSI TEC (c) 2000 30Linux em Ambiente Corporativoo (2) Linux como Servidor (cont.) X Servidores Gateways êRoteamento êFiltro de pacotes êNAT / Masquerade êTransparent Proxy êProxy Reverso êVPN êTambém possível alguns firewalls comerciais
  31. 31. LSI TEC (c) 2000 31Linux em Ambiente Corporativo X Servidores Gateways (cont.) êVantagens u Desempenho u Suporte a Hardware ÕFlexibilidade (comparado a outros UNIX) ÕCusto (comparado a outros UNIX) ÕAtualização u Suporte para diversos protocolos ÕEthernet/FastEthernet/GigabitEthernet ÕISDN / X25 / X21 ÕIPv4, IPX, IPv6 u Suporte a ÕIP-Chains (filtros, NAT, masquerade) u Custo do software
  32. 32. LSI TEC (c) 2000 32Linux em Ambiente Corporativoo (3) Como plataforma para Auditoria e Análise de segurança X Linux para a equipe de segurança / auditoria X Ferramentas: êAnalisadores de vulnerabilidades u Nessus êDetetores de intrusão de rede u Snort
  33. 33. LSI TEC (c) 2000 33Sistemas de segurança para Linux
  34. 34. LSI TEC (c) 2000 34Sistemas de segurança para Linuxo Codificação de senhas com MD5 X Permite utilização de senhas com até 256 caracteres X Utiliza codificação hash MD5o John The Ripper X Avaliador de senhas vulneráveis X Permite detectar senhas “fracas” no sistema X www.openwall.com/johno Crack X Avaliador de senhas vulneráveis
  35. 35. LSI TEC (c) 2000 35Sistemas de segurança para Linuxo Tripwire X Detector de intrusão, baseado em host X Versão comercial: www.tripwire.com X Versão livre: www.tripwire.orgo AIDE X Detector de intrusão, baseado em host êwww.cs.tut.fi/~rammer/aide.html
  36. 36. LSI TEC (c) 2000 36Sistemas de segurança para Linuxo OpenSSH X Implementação livre do protocolo SSH (Secure Shell) X SSH1 / SSH2: Padrão Internet X “Telnet” criptografado e autenticado X “FTP” criptografado e autenticado X Canais X-windows criptografados e autenticados X www.openssh.como S/Key X One Time Password X Implementação em software
  37. 37. LSI TEC (c) 2000 37Sistemas de segurança para Linuxo SQUID X Servidor PROXY X Permite definir ACL êControle de acesso a páginas pelos usuários êFiltros por URL X LOG de acessos X Squid Web Proxy Cache êwwww.squid-cache.org
  38. 38. LSI TEC (c) 2000 38Sistemas de segurança para Linuxo NAT x ProxyReverso (xinetd) Servidor Proxy xinetd Reverso TCP TCP UDP UDP TCP UDP TCP UDPΝΑΤ ICMP IGMP ICMP IGMP ICMP IGMP ICMP IGMP IP IP IP IP ARP RARP ARP RARP ARP RARP ARP RARP Ethernet Ethernet Ethernet Ethernet
  39. 39. LSI TEC (c) 2000 39Sistemas de segurança para Linux Internet Filtros DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  40. 40. LSI TEC (c) 2000 40Sistemas de segurança para Linux Internet Masquerade (troca de endereços N-1) DMZ Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  41. 41. LSI TEC (c) 2000 41Sistemas de segurança para Linux Internet Proxy DMZ Reverso Intranet DMZDNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet IntranetMAIL ? ? Log ? Clientes
  42. 42. LSI TEC (c) 2000 42Sistemas de segurança para Linuxo xinetd X Proxy Reverso X Permite uma conexão de uma porta para uma outra porta em um outro hosto IPChains / IPMasqadm X Permite configurar opções do kernel para: êFiltros de pacotes êNAT - Network Address Translation êMasqueradeo Problemas X Log no masquerade (muito log) X Log nos servidores (a identificação da máquina origem é da sua máquina gateway)
  43. 43. LSI TEC (c) 2000 43Sistemas de segurança para Linuxo NMAP X Scanner de IP e Portas X www.insecure.org/nmapo SAINT X Analisador de vulnerabilidade (network based)o NESSUS X Scanner de IP e Portas X Analisador de vulnerabilidade (network based)
  44. 44. LSI TEC (c) 2000 44Sistemas de segurança para Linuxo SHADOW X Detector de intrusão (network based) X The SANS Instituteo SNORT X Detector de intrusão (network based) X www.snort.org
  45. 45. LSI TEC (c) 2000 45Sistemas de segurança para Linuxo Firewalls Comerciais X Firewall-1 êwwww.checkpoint.com X Aker Firewall êwwww.aker.com.br X Phoenix Adaptive Firewall êwww.progressive-systems.com
  46. 46. LSI TEC (c) 2000 46Sistemas de segurança para Linuxo Kerberos X Sistemas de Autenticação e Confidencialidadeo Free Secure WAN X Virtural Private Network X Canal seguro para interligação de redes X Implementa IPSEC X VPN de êhost êrede
  47. 47. LSI TEC (c) 2000 47Sistemas de segurança para Linuxo Servidor Central de Log X Objetivo êMáquina confiável que centralize o log de todas as máquinas do sistema X Como configurar êRealizar a configuração segura Linux êDesabilitar todos os servicos de rede êPermitir acesso somente pelo administrador via console
  48. 48. LSI TEC (c) 2000 48 Obrigado NSRAVNúcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP volnys@lsi.usp.br meylan@lsi.usp.br

×