Segurança informática na FCCN
Conferência de Redes e Serviços de Comunicação 2001/
Segurança em Redes IP
http://www.dei.estg.iplei.pt/eventos/crsc2001/
(Escola Superior de Tecnologia e Gestão de Leiria)
João Pagaime
v20010314/CRSC2001-ESTGLeiria,2001040X
1
Sumário
• FCCN
– Activos a proteger, riscos, política de segurança e processos
implantados
• RCTS
– Carta ao utilizador, caracterização problemas segurança existentes
e processos implantados
• Contactos / Refs
v20010314/CRSC2001-ESTGLeiria,2001040X
2
• FCCN
FCCN e RCTS
– É uma instituição com pouco mais de 50 utilizadores
informáticos, ligada à Internet
– Gestão da Rede Ciência Tecnologia e Sociedade
(RCTS), redes do serviço DNS de Top Level Domain PT (TLD-PT), redes de backbone (Webcache,
NetNews, etc.)
• RCTS
– Dezena de instituições de ensino superior e milhares de
escolas, entre outras organizações (bibliotecas, etc.)
v20010314/CRSC2001-ESTGLeiria,2001040X
3
Activos a proteger
•
•
•
•
Disponibilidade serviços
Integridade serviços prestados
Informação/privacidade
Confiança depositada pelos utilizadores
v20010314/CRSC2001-ESTGLeiria,2001040X
4
FCCN - Riscos internos
• Pressuposto: os utilizadores são de confiança,
mas precisam de ser protegidos
• Utilização contrária à Política de Segurança
– Desconhecimento
• Execução de anexos de correio electrónico
• “Limpezas” de contas
– Os descuidos
• Abertura de serviços de conveniência
• Testes em redes produção
• Informação confidencial comprometida
v20010314/CRSC2001-ESTGLeiria,2001040X
5
FCCN - Riscos externos
• Pressuposto: os clientes são hostis
• Negação de serviço (Denial of Service - DoS)
– Exaustão recursos (SynFlood, smurf, etc.)
– Protecção completa muito difícil em redes IP:
endereços origem forjados (spoofing); rede não
orientada à ligação: não pode ajudar (sem controlo de
admissão); ónus de protecção no servidor
– Apenas é necessário maior poder computacional do
lado atacante
v20010314/CRSC2001-ESTGLeiria,2001040X
6
FCCN - Riscos externos (2)
• Intrusão em sistemas através de serviços
disponíveis
– Configuração deficiente (passwords de omissão, etc.)
– Falhas nos serviços/SO:
• Verificação fraca de informação passada em argumentos
(Cavalos de Tróia executados ilegitimamente).
• Acesso a zonas de memória de execução através de informação
passada aos serviços (buffer overrun). Ex: BIND, WU-FTD,
etc.
v20010314/CRSC2001-ESTGLeiria,2001040X
7
FCCN - Política Segurança
• Existiu de facto materializada num documento
extenso/exaustivo (+80 páginas)
• Esforço de manutenção de tal documento não
adequado
• Preferível consolidar política em pequeno
conjunto de regras
• Ênfase nos processos, esforço continuado, além da
arquitectura inicial
v20010314/CRSC2001-ESTGLeiria,2001040X
8
FCCN - Política Segurança (2)
• Objectivos
– Manter nível risco conhecido e controlado, a um custo
adequado
– Protecção contra ataques amadores externos
– Protecção interna de alguma informação
v20010314/CRSC2001-ESTGLeiria,2001040X
9
FCCN - Política Segurança (3)
• Algumas directrizes principais/gerais
– Apenas correm serviços que se justifiquem necessários, e para os
utilizadores que necessitem deles
– Informação pertinente é salvaguardada em suporte externo aos
sistemas (backups) com histórico adequado
– Existência de controlo de perímetro
• Controlo acesso/FW: existem documentos neutros, abertos, legíveis
com conhecimentos técnicos médios, para realização em equipamento
• Emails (verificação na entrada)
– Usar canais seguros para acesso a serviços internos quando
autenticação está envolvida e os clientes vem de fora (SSH)
– Fazer gestão de segredos/passwords acessível a pessoal autorizado
– Preocupação de segurança com sistemas em redes protegidas não
deve ser fraca, porque podem ser acessíveis indirectamente
v20010314/CRSC2001-ESTGLeiria,2001040X
10
FCCN - Política Segurança (4)
• Mais directrizes da PS
• O repositório de trabalho dos Colaboradores da FCCN (CF)
deve ser em servidor disponibilizado para o efeito e não no
posto de trabalho
• Os CF não devem abrir anexos de correio electrónico sem
conhecimento prévio de sua chegada (difícil na prática)
• Os postos de trabalho correm programa antivírus com
actualizações adequadas
• Os CF tomam conhecimento que nenhuma informação que
atravesse sistemas da FCCN é considerada privada ou pessoal
• Os utilizadores não podem cifrar informação de trabalho sem
autorização superior
• Outras...
v20010314/CRSC2001-ESTGLeiria,2001040X
11
FCCN - Backups
• Problema: fiabilidade; Lógica de “Resolução de problema
tem prioridade baixa…”
• Existe uma tabela que declara, por sistema
– Abrangência em dias
– Frequência
– Meios físicos disponibilizados
• Diariamente os logs são inspeccionados
– Examinador declara que inspeccionou logs
– Notícia de problemas é propagada a administradores de
sistemas
• Tecnologia: Dump/tar/samba
v20010314/CRSC2001-ESTGLeiria,2001040X
12
FCCN - Controlo perímetro (ideal)
• DMZ recebe pedidos clientes
externos
• Postos trabalho acedem ao
exterior indirectamente
(servidor bastião, NAT, etc.)
• Serviços internos
(contabilidade, etc) isolados
v20010314/CRSC2001-ESTGLeiria,2001040X
13
FCCN - Controlo perímetro (+real)
• Rede com alguns anos
– Alguns serviços com acessos
externos na rede interna (junto
com postos de trabalho)
• Vários DailOuts (In?) - POTS,
RDIS
• Ligações intermitentes a
plataforma de testes
• Segmentos wireless
v20010314/CRSC2001-ESTGLeiria,2001040X
14
FCCN - Controlo de perímetro - realização
• Filtros de pacotes sem estado
– Baseado em listas de controlo de acesso (negar por
omissão)
• Por interface
• Direcção
• Aspecto do pacote (endereços, portos org/dst, protocolo, flags
segmentos TCP)
• Logging
– Vantagens
• Já vem com o router
• Boa aproximação à natureza do tráfego - flexibilidade
• Manipulação bem dominada (existe boa especialização)
v20010314/CRSC2001-ESTGLeiria,2001040X
15
FCCN - Controlo de perímetro - realização (2)
– Desvantagens
• Difícil de gerir se número de regras for grande
• Falta de especialização equipamento: fácil de atacar
(sobrecarga logging, por exemplo), não detecta nem alerta
eventuais tentativas de ataque a sistema protegidos
• Certos serviços são difíceis de configurar (negociação de
portos dentro de sessão)
• Linguagem de configuração não adequada a expressar política
de controlo de acesso (elevado detalhe)
v20010314/CRSC2001-ESTGLeiria,2001040X
16
FCCN - Controlo de perímetro - realização (3)
• Gestão e operação em grupos de trabalho diferentes
–
–
–
–
Linguagem neutra
Sincronização de configurações
Uns querem linguagem de descrição de alto nível
Outros preferem formalismos próximos das ACLs
v20010314/CRSC2001-ESTGLeiria,2001040X
17
FCCN - Controlo de perímetro - realização (4)
• Compromisso:
linguagem das “tabelas”
• Ambiguidades:
– ICMP não é serviço
– Tendência para olhar para
as duas tabelas como
“sentidos” de tráfego
– Não capta outros aspectos:
anti-spoof, anti-smurf
v20010314/CRSC2001-ESTGLeiria,2001040X
18
FCCN - Controlo de perímetro - vírus email (5)
• Controlo centralizado à entrada do Mail Transfer
Agent (qmail); Impossível eficácia 100% - mails
podem aparecer cifrados fim-a-fim
• qmail-scanner
– Pretende-se apenas “reacção rápida” para controlar
surtos bem conhecidos - não se usam BDs que careçam
de actualização periódica
– Expressões regulares que instanciam por aspecto do
email
– Dezenas de ocorrências / mês
v20010314/CRSC2001-ESTGLeiria,2001040X
19
FCCN - Anti Vírus no P.Trabalho
• Pode provocar instabilidade no Posto de Trabalho
• Complexo de gerir: actualizações periódicas
• Fomenta excepções de configuração para que Posto de
Trabalho funcione
• É um mal necessário. Difícil mover antivírus para servidor,
porque a existência de vírus deve ser verificada em cada
execução no Posto de Trabalho. Eventual compromisso:
em caso de catástrofe, recuperar informação do servidor
através de backups...
v20010314/CRSC2001-ESTGLeiria,2001040X
20
FCCN - Canais seguros para gestão
operacional de sistemas
• Telnet, FTP, rsh: banidos. Não há passwords em claro na
rede em condições normais
• Usa-se SSH(v2)
– Canal autenticado, privado com protecção de
integridade
– Chave pública/privada. Mesma chave pública em todos
os servidores
– Flexibilidade de criação de túneis (plugs TCP). VPN...
– Agente de autenticação automática (memorização pass
phrase p/decifrar chave privada) para X (posto trabalho)
v20010314/CRSC2001-ESTGLeiria,2001040X
21
FCCN - Gestão segredos
• Escolha de passwords
– Aleatórias com 8 caracteres (~3*10^14). Diferentes em
todos sistemas
• Vantagens
– Consideradas fortes (resistentes ataques dicionário)
– Evitam-se vícios de escolha de passwd (@=a,$=s,etc.)
• Desvantagens
– Prescinde-se de flexibilidade memorizar passwords
– Difícil introdução em consola
– Existe uma tabela com passwords protegida PGP
v20010314/CRSC2001-ESTGLeiria,2001040X
22
FCCN - Atenção à comunidade de
segurança
• Importante estar atento (listas email, CERT,
newsgroups, etc.)
• Tão importante que é conveniente consolidar em
serviço interno
– Manifesto diário de leitura de listas (bugtrack,
relatórios de servidores, integridade ficheiros, etc.)
• Hackers normalmente benevolentes: avisos,
depois confusão, e, finalmente, exploits (alguns
dias…)
v20010314/CRSC2001-ESTGLeiria,2001040X
23
FCCN - Detecção intrusão
– Preparação para o inevitável
– Detecção de mudanças importantes no sistema
– Detecção diária
diferenças
directórios
– Simplicidade
(ambiente
heterogéneo) Osiris/Scale
– Entradas SSH
unidireccionais
v20010314/CRSC2001-ESTGLeiria,2001040X
24
RCTS - Accepted User Policy
• Entre outras coisas interessantes:
– Não pode ser dado uso que prejudique outros
utilizadores
• Corolário: Incidentes que usem troços comuns da rede,
prejudicam outros utilizadores
– Linhas internacionais
– PIX
– backbone
• Graus de sugestão de acção: aviso, corte de
endereço IP, corte de rede, corte de porta
v20010314/CRSC2001-ESTGLeiria,2001040X
25
RCTS - Caracterização problemas
• Estado não é famoso: dos primeiros utilizadores da Internet
em Portugal - arquitectura aberta e pouco preparada
• Ambiente académico muito dinâmico com alta rotatividade
de operacionais responsáveis
• Os problemas:
– Propagação SPAM
– Participantes em ataques de SMURF
– Intrusões em sistemas internos (usados posteriormente
para lançamento de ataques)
– Outros (portscan, etc.)
v20010314/CRSC2001-ESTGLeiria,2001040X
26
RCTS - Metodologia de tratamento
de incidentes
• Notificação ao contacto técnico da Instituição - pouco
eficaz (contactos podem ser pessoas seniores das
Instituições pouco sensibilizadas para estes problemas)
• Notificação à Instituição, Espera, autorização Conselho
Executivo FCCN, Eventual corte - difícil de gerir
operacionalmente
• Autónomo/automatizado: Incidente frequente e passível de
caracterização técnica rigorosa: não carece autorização CE
(anti-SPAM)
v20010314/CRSC2001-ESTGLeiria,2001040X
27
RCTS - Incidente frequente: Propagação SPAM
• Tratamento autónomo/automatizado
• Mail Transfer Agents (sendmail, qmail, exchange) aceitam email para
entrega de qualquer cliente (dialup em EUA). Em seguida propagam para
Inet.
• Vem queixa da Internet para a FCCN
• Emite-se aviso e dá-se 7 dias para resolução
• Findo prazo e não resolução do problema, afunda-se endereço MTA na
RCTS
• BlackList disponível apenas aos envolvidos
• Levantamento de quarentena para teste: horas em vez de dias (ou
semanas) dos transportadores internacionais
v20010314/CRSC2001-ESTGLeiria,2001040X
28
RCTS - SMURF - problema grave
latente
• Dezenas de redes abertas
• Consequências graves: DoS de alvo, e, provavelmente de participante.
Pode saturar circuitos internacionais...
• Fácil de caracterizar tecnicamente
– Sabe-se redes atribuídas às Instituições (domínio público - RIPE).
Pode haver segmentação interna desconhecida para FCCN (e para
resto do mundo…)
– Basta fazer ping para endereço rede e difusão
– Verificar quantas respostas aparecem
• Ou seja, está nas condições para ser candidato a medidas
autónomas/automatizadas
• Fácil resolução: “no ip direct-broacast”
v20010314/CRSC2001-ESTGLeiria,2001040X
29
RCTS - Coordenação de incidentes ?
• [email protected] - Computer Emergency Response
Team “registada” em CERT Europeu (www.eurocert.org)
• Para que está a servir?
– Notificação de intrusão em “sites” web…
– Mais um vazadouro de queixas (além de abuse@,
postmaster@, Nicks do RIPE, etc.)
• Adesão instituições praticamente nula. Pouca inclinação a
divulgar vulnerabilidades
• Consequências:
– Apenas mais um endereço de correio electrónico
v20010314/CRSC2001-ESTGLeiria,2001040X
30
RCTS - Coordenação de incidentes
• Uma hipótese
• – Serviço para a RCTS
• Manual prático de tratamento de incidente
- Coordenação
de incidentes ?
• Formas de obterRCTS
contactos
em rede IP
• Contactos em Portugal (Polícia Judiciária)
– Com os devidos cuidados… São mundos muito diferentes.
Pretende-se resolver um problema, e não dar-lhe mais uma
dimensão
• Possibilidade de contactar técnico da FCCN, após outros meios
esgotados
• Possibilidade de manter histórico via Portal
– Serviço para o mundo. Apenas mais uma via de comunicação de
entrada
v20010314/CRSC2001-ESTGLeiria,2001040X
31
Contactos / Refs
• “João Pagaime” <[email protected]>
•
• Carta ao utilizador da RCTS (AUP):
– http://www.fccn.pt/RCTS/formalidades/carta/index.shtml
• Política Anti-SPAM:
– http://www.fccn.pt/RCTS/spam/politicaSpam.shtml
• [email protected]
• Helpdesk: [email protected]
• Osiris/Scale:
– http://www.shmoo.com/tools/
v20010314/CRSC2001-ESTGLeiria,2001040X
32