Segurança informática na FCCN Conferência de Redes e Serviços de Comunicação 2001/ Segurança em Redes IP http://www.dei.estg.iplei.pt/eventos/crsc2001/ (Escola Superior de Tecnologia e Gestão de Leiria) João Pagaime v20010314/CRSC2001-ESTGLeiria,2001040X 1 Sumário • FCCN – Activos a proteger, riscos, política de segurança e processos implantados • RCTS – Carta ao utilizador, caracterização problemas segurança existentes e processos implantados • Contactos / Refs v20010314/CRSC2001-ESTGLeiria,2001040X 2 • FCCN FCCN e RCTS – É uma instituição com pouco mais de 50 utilizadores informáticos, ligada à Internet – Gestão da Rede Ciência Tecnologia e Sociedade (RCTS), redes do serviço DNS de Top Level Domain PT (TLD-PT), redes de backbone (Webcache, NetNews, etc.) • RCTS – Dezena de instituições de ensino superior e milhares de escolas, entre outras organizações (bibliotecas, etc.) v20010314/CRSC2001-ESTGLeiria,2001040X 3 Activos a proteger • • • • Disponibilidade serviços Integridade serviços prestados Informação/privacidade Confiança depositada pelos utilizadores v20010314/CRSC2001-ESTGLeiria,2001040X 4 FCCN - Riscos internos • Pressuposto: os utilizadores são de confiança, mas precisam de ser protegidos • Utilização contrária à Política de Segurança – Desconhecimento • Execução de anexos de correio electrónico • “Limpezas” de contas – Os descuidos • Abertura de serviços de conveniência • Testes em redes produção • Informação confidencial comprometida v20010314/CRSC2001-ESTGLeiria,2001040X 5 FCCN - Riscos externos • Pressuposto: os clientes são hostis • Negação de serviço (Denial of Service - DoS) – Exaustão recursos (SynFlood, smurf, etc.) – Protecção completa muito difícil em redes IP: endereços origem forjados (spoofing); rede não orientada à ligação: não pode ajudar (sem controlo de admissão); ónus de protecção no servidor – Apenas é necessário maior poder computacional do lado atacante v20010314/CRSC2001-ESTGLeiria,2001040X 6 FCCN - Riscos externos (2) • Intrusão em sistemas através de serviços disponíveis – Configuração deficiente (passwords de omissão, etc.) – Falhas nos serviços/SO: • Verificação fraca de informação passada em argumentos (Cavalos de Tróia executados ilegitimamente). • Acesso a zonas de memória de execução através de informação passada aos serviços (buffer overrun). Ex: BIND, WU-FTD, etc. v20010314/CRSC2001-ESTGLeiria,2001040X 7 FCCN - Política Segurança • Existiu de facto materializada num documento extenso/exaustivo (+80 páginas) • Esforço de manutenção de tal documento não adequado • Preferível consolidar política em pequeno conjunto de regras • Ênfase nos processos, esforço continuado, além da arquitectura inicial v20010314/CRSC2001-ESTGLeiria,2001040X 8 FCCN - Política Segurança (2) • Objectivos – Manter nível risco conhecido e controlado, a um custo adequado – Protecção contra ataques amadores externos – Protecção interna de alguma informação v20010314/CRSC2001-ESTGLeiria,2001040X 9 FCCN - Política Segurança (3) • Algumas directrizes principais/gerais – Apenas correm serviços que se justifiquem necessários, e para os utilizadores que necessitem deles – Informação pertinente é salvaguardada em suporte externo aos sistemas (backups) com histórico adequado – Existência de controlo de perímetro • Controlo acesso/FW: existem documentos neutros, abertos, legíveis com conhecimentos técnicos médios, para realização em equipamento • Emails (verificação na entrada) – Usar canais seguros para acesso a serviços internos quando autenticação está envolvida e os clientes vem de fora (SSH) – Fazer gestão de segredos/passwords acessível a pessoal autorizado – Preocupação de segurança com sistemas em redes protegidas não deve ser fraca, porque podem ser acessíveis indirectamente v20010314/CRSC2001-ESTGLeiria,2001040X 10 FCCN - Política Segurança (4) • Mais directrizes da PS • O repositório de trabalho dos Colaboradores da FCCN (CF) deve ser em servidor disponibilizado para o efeito e não no posto de trabalho • Os CF não devem abrir anexos de correio electrónico sem conhecimento prévio de sua chegada (difícil na prática) • Os postos de trabalho correm programa antivírus com actualizações adequadas • Os CF tomam conhecimento que nenhuma informação que atravesse sistemas da FCCN é considerada privada ou pessoal • Os utilizadores não podem cifrar informação de trabalho sem autorização superior • Outras... v20010314/CRSC2001-ESTGLeiria,2001040X 11 FCCN - Backups • Problema: fiabilidade; Lógica de “Resolução de problema tem prioridade baixa…” • Existe uma tabela que declara, por sistema – Abrangência em dias – Frequência – Meios físicos disponibilizados • Diariamente os logs são inspeccionados – Examinador declara que inspeccionou logs – Notícia de problemas é propagada a administradores de sistemas • Tecnologia: Dump/tar/samba v20010314/CRSC2001-ESTGLeiria,2001040X 12 FCCN - Controlo perímetro (ideal) • DMZ recebe pedidos clientes externos • Postos trabalho acedem ao exterior indirectamente (servidor bastião, NAT, etc.) • Serviços internos (contabilidade, etc) isolados v20010314/CRSC2001-ESTGLeiria,2001040X 13 FCCN - Controlo perímetro (+real) • Rede com alguns anos – Alguns serviços com acessos externos na rede interna (junto com postos de trabalho) • Vários DailOuts (In?) - POTS, RDIS • Ligações intermitentes a plataforma de testes • Segmentos wireless v20010314/CRSC2001-ESTGLeiria,2001040X 14 FCCN - Controlo de perímetro - realização • Filtros de pacotes sem estado – Baseado em listas de controlo de acesso (negar por omissão) • Por interface • Direcção • Aspecto do pacote (endereços, portos org/dst, protocolo, flags segmentos TCP) • Logging – Vantagens • Já vem com o router • Boa aproximação à natureza do tráfego - flexibilidade • Manipulação bem dominada (existe boa especialização) v20010314/CRSC2001-ESTGLeiria,2001040X 15 FCCN - Controlo de perímetro - realização (2) – Desvantagens • Difícil de gerir se número de regras for grande • Falta de especialização equipamento: fácil de atacar (sobrecarga logging, por exemplo), não detecta nem alerta eventuais tentativas de ataque a sistema protegidos • Certos serviços são difíceis de configurar (negociação de portos dentro de sessão) • Linguagem de configuração não adequada a expressar política de controlo de acesso (elevado detalhe) v20010314/CRSC2001-ESTGLeiria,2001040X 16 FCCN - Controlo de perímetro - realização (3) • Gestão e operação em grupos de trabalho diferentes – – – – Linguagem neutra Sincronização de configurações Uns querem linguagem de descrição de alto nível Outros preferem formalismos próximos das ACLs v20010314/CRSC2001-ESTGLeiria,2001040X 17 FCCN - Controlo de perímetro - realização (4) • Compromisso: linguagem das “tabelas” • Ambiguidades: – ICMP não é serviço – Tendência para olhar para as duas tabelas como “sentidos” de tráfego – Não capta outros aspectos: anti-spoof, anti-smurf v20010314/CRSC2001-ESTGLeiria,2001040X 18 FCCN - Controlo de perímetro - vírus email (5) • Controlo centralizado à entrada do Mail Transfer Agent (qmail); Impossível eficácia 100% - mails podem aparecer cifrados fim-a-fim • qmail-scanner – Pretende-se apenas “reacção rápida” para controlar surtos bem conhecidos - não se usam BDs que careçam de actualização periódica – Expressões regulares que instanciam por aspecto do email – Dezenas de ocorrências / mês v20010314/CRSC2001-ESTGLeiria,2001040X 19 FCCN - Anti Vírus no P.Trabalho • Pode provocar instabilidade no Posto de Trabalho • Complexo de gerir: actualizações periódicas • Fomenta excepções de configuração para que Posto de Trabalho funcione • É um mal necessário. Difícil mover antivírus para servidor, porque a existência de vírus deve ser verificada em cada execução no Posto de Trabalho. Eventual compromisso: em caso de catástrofe, recuperar informação do servidor através de backups... v20010314/CRSC2001-ESTGLeiria,2001040X 20 FCCN - Canais seguros para gestão operacional de sistemas • Telnet, FTP, rsh: banidos. Não há passwords em claro na rede em condições normais • Usa-se SSH(v2) – Canal autenticado, privado com protecção de integridade – Chave pública/privada. Mesma chave pública em todos os servidores – Flexibilidade de criação de túneis (plugs TCP). VPN... – Agente de autenticação automática (memorização pass phrase p/decifrar chave privada) para X (posto trabalho) v20010314/CRSC2001-ESTGLeiria,2001040X 21 FCCN - Gestão segredos • Escolha de passwords – Aleatórias com 8 caracteres (~3*10^14). Diferentes em todos sistemas • Vantagens – Consideradas fortes (resistentes ataques dicionário) – Evitam-se vícios de escolha de passwd (@=a,$=s,etc.) • Desvantagens – Prescinde-se de flexibilidade memorizar passwords – Difícil introdução em consola – Existe uma tabela com passwords protegida PGP v20010314/CRSC2001-ESTGLeiria,2001040X 22 FCCN - Atenção à comunidade de segurança • Importante estar atento (listas email, CERT, newsgroups, etc.) • Tão importante que é conveniente consolidar em serviço interno – Manifesto diário de leitura de listas (bugtrack, relatórios de servidores, integridade ficheiros, etc.) • Hackers normalmente benevolentes: avisos, depois confusão, e, finalmente, exploits (alguns dias…) v20010314/CRSC2001-ESTGLeiria,2001040X 23 FCCN - Detecção intrusão – Preparação para o inevitável – Detecção de mudanças importantes no sistema – Detecção diária diferenças directórios – Simplicidade (ambiente heterogéneo) Osiris/Scale – Entradas SSH unidireccionais v20010314/CRSC2001-ESTGLeiria,2001040X 24 RCTS - Accepted User Policy • Entre outras coisas interessantes: – Não pode ser dado uso que prejudique outros utilizadores • Corolário: Incidentes que usem troços comuns da rede, prejudicam outros utilizadores – Linhas internacionais – PIX – backbone • Graus de sugestão de acção: aviso, corte de endereço IP, corte de rede, corte de porta v20010314/CRSC2001-ESTGLeiria,2001040X 25 RCTS - Caracterização problemas • Estado não é famoso: dos primeiros utilizadores da Internet em Portugal - arquitectura aberta e pouco preparada • Ambiente académico muito dinâmico com alta rotatividade de operacionais responsáveis • Os problemas: – Propagação SPAM – Participantes em ataques de SMURF – Intrusões em sistemas internos (usados posteriormente para lançamento de ataques) – Outros (portscan, etc.) v20010314/CRSC2001-ESTGLeiria,2001040X 26 RCTS - Metodologia de tratamento de incidentes • Notificação ao contacto técnico da Instituição - pouco eficaz (contactos podem ser pessoas seniores das Instituições pouco sensibilizadas para estes problemas) • Notificação à Instituição, Espera, autorização Conselho Executivo FCCN, Eventual corte - difícil de gerir operacionalmente • Autónomo/automatizado: Incidente frequente e passível de caracterização técnica rigorosa: não carece autorização CE (anti-SPAM) v20010314/CRSC2001-ESTGLeiria,2001040X 27 RCTS - Incidente frequente: Propagação SPAM • Tratamento autónomo/automatizado • Mail Transfer Agents (sendmail, qmail, exchange) aceitam email para entrega de qualquer cliente (dialup em EUA). Em seguida propagam para Inet. • Vem queixa da Internet para a FCCN • Emite-se aviso e dá-se 7 dias para resolução • Findo prazo e não resolução do problema, afunda-se endereço MTA na RCTS • BlackList disponível apenas aos envolvidos • Levantamento de quarentena para teste: horas em vez de dias (ou semanas) dos transportadores internacionais v20010314/CRSC2001-ESTGLeiria,2001040X 28 RCTS - SMURF - problema grave latente • Dezenas de redes abertas • Consequências graves: DoS de alvo, e, provavelmente de participante. Pode saturar circuitos internacionais... • Fácil de caracterizar tecnicamente – Sabe-se redes atribuídas às Instituições (domínio público - RIPE). Pode haver segmentação interna desconhecida para FCCN (e para resto do mundo…) – Basta fazer ping para endereço rede e difusão – Verificar quantas respostas aparecem • Ou seja, está nas condições para ser candidato a medidas autónomas/automatizadas • Fácil resolução: “no ip direct-broacast” v20010314/CRSC2001-ESTGLeiria,2001040X 29 RCTS - Coordenação de incidentes ? • [email protected] - Computer Emergency Response Team “registada” em CERT Europeu (www.eurocert.org) • Para que está a servir? – Notificação de intrusão em “sites” web… – Mais um vazadouro de queixas (além de abuse@, postmaster@, Nicks do RIPE, etc.) • Adesão instituições praticamente nula. Pouca inclinação a divulgar vulnerabilidades • Consequências: – Apenas mais um endereço de correio electrónico v20010314/CRSC2001-ESTGLeiria,2001040X 30 RCTS - Coordenação de incidentes • Uma hipótese • – Serviço para a RCTS • Manual prático de tratamento de incidente - Coordenação de incidentes ? • Formas de obterRCTS contactos em rede IP • Contactos em Portugal (Polícia Judiciária) – Com os devidos cuidados… São mundos muito diferentes. Pretende-se resolver um problema, e não dar-lhe mais uma dimensão • Possibilidade de contactar técnico da FCCN, após outros meios esgotados • Possibilidade de manter histórico via Portal – Serviço para o mundo. Apenas mais uma via de comunicação de entrada v20010314/CRSC2001-ESTGLeiria,2001040X 31 Contactos / Refs • “João Pagaime” <[email protected]> • • Carta ao utilizador da RCTS (AUP): – http://www.fccn.pt/RCTS/formalidades/carta/index.shtml • Política Anti-SPAM: – http://www.fccn.pt/RCTS/spam/politicaSpam.shtml • [email protected] • Helpdesk: [email protected] • Osiris/Scale: – http://www.shmoo.com/tools/ v20010314/CRSC2001-ESTGLeiria,2001040X 32