15
Maikon Kenny Correa de Almeida O desenvolvimento do trabalho foi feito em conjunto, na divisão das tarefas fiquei responsável pela parte da fundamentação teórica e por realizar os testes. Mas em todas as etapas do trabalho tivemos o auxilio um do outro.

Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

  • Upload
    hakiet

  • View
    217

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Maikon Kenny Correa de Almeida

O desenvolvimento do trabalho foi feito em conjunto, na divisão das tarefas fiquei responsável

pela parte da fundamentação teórica e por realizar os testes. Mas em todas as etapas do

trabalho tivemos o auxilio um do outro.

Page 2: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Avaliação de um segundo fator de autenticação em Firewall UTM Fortinet

Maikon Kenny Correa de Almeida, Rodolfo Castro Delgado

Curso de Especialização em Redes e Segurança de Sistemas

Pontifícia Universidade Católica do Paraná

Curitiba, Janeiro de 2013

Resumo

O Objetivo desse trabalho e mostrar a utilização do segundo fator de autenticação,

será utilizado o firewall Fortigate (UTM da Fortinet). Descrevemos a configuração do

equipamento para habilitar o segundo fator de autenticação, utilizamos o FortiToken

Mobile, configurado em aparelhos celulares com o sistema operacional android.

Realizamos testes para demostrar a facilidade de se descobrir os dados de acesso dos

usuários, com base nos resultados obtidos e possível notar o aumento da segurança

com a utilização do segundo fator de autenticação.

1. Introdução

Hoje a maioria das empresas disponibiliza diversos recursos para os seus usuários,

como e-mail, intranet, VPN, etc. Para utilizar esses recursos existe um processo para

provar a sua identidade, que é conhecida como autenticação.

A forma de autenticação mais comum é a utilizando um nome de usuário e uma senha.

O problema dessa forma de autenticação e que um atacante precisa apenas obter esses

dados para ter acesso as informações. Existe muitas formas do atacante descobrir esses

dados, sendo via keylogger, sniffers, trojans, ou ate mesmo via tentativa e erro.

Uma forma de autenticação mais forte e usar mais de um fator de autenticação. No qual

você não só tem que saber algo como seu usuário e senha, mas tem que ter algo como

um Token ou apresentar algo exclusivamente seu, como sua retina, impressão digital.

Page 3: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Nosso objetivo nesse trabalho e mostrar um aumento na segurança, quando e utilizando

um segundo fator de autenticação, nos testes realizados demostramos que mesmo que

um atacante descubra seu usuário e senha ele não será capaz de conseguir o acesso, pois

ele não vai conseguir sem ter acesso ao segundo fator.

Vamos utilizar os equipamentos da Fortinet (Fortigate, FortiToken), para implementar o

segundo fator. Na seção 3 você encontra uma descrição mais detalhada do

hardware/software que foi utilizado e o cenário proposto para os testes.

2. Fundamentação Teórica

Segurança da Informação

Segundo a norma ISO/IEC 17799:2000, segurança da informação é a proteção contra os

diversos tipos de ameaças ás informações, de forma a assegurar a continuidade do

negócio, minimizando danos comerciais, maximizando o retorno dos investimentos e as

oportunidades de negócio. A segurança de um ambiente é caracterizada pela

preservação de três conceitos: a confidencialidade, a integridade e a disponibilidade das

informações criticas.

A preservação da confidencialidade é a garantia de acesso á informação somente por

pessoas autorizadas. Limitando o acesso ás entidades autenticadas, sejam elas pessoas,

maquinas ou processos.

A preservação da integridade é a garantia de exatidão e completeza da informação, ou

seja, garantir que toda vez que uma informação seja manipulada, ela esteja consistente e

íntegra. A preservação da disponibilidade garante que o acesso autorizado á informação

esteja disponível sempre que necessário. Esse controle visa garantir a informação

disponível a quem dele precisa para fins de negocio, com acesso continuo, sem falhas,

ininterrupto, constante e atemporal ás informações. [1]

Fortinet / Fortigate

A Fortinet é a empresa pioneira e líder de mercado no fornecimento de sistemas de

gerenciamento unificado de ameaças, que são usados por corporações e fornecedores de

serviços para aumentar a segurança enquanto reduzem o custo total de operação. As

soluções da Fortinet foram desenvolvidas de forma a integrar múltiplos níveis de

proteção fornecendo aos clientes um meio de se protegerem de múltiplas ameaças,

assim como de ameaças combinadas.

O Fortigate é a primeira gama de aplicações de alto rendimento para a proteção de redes

em tempo real. Trata-se de uma plataforma que combina hardware e software para

oferecer antivírus, filtragem de conteúdos web e de e-mail, Firewall de inspeção

detalhada, IPSec VPN, SSL VPN, detecção e prevenção de intrusões e funções de

prioridade de tráfego.

Page 4: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Os appliances Fortigate possuem uma relação custo benefício extremamente atraente

por ser uma solução de UTM completa, inovadora e líder de mercado. Além de

consolidar soluções sofisticadas, o Fortigate possui opções para alta disponibilidade e

virtualização completa do equipamento. [8][9]

3. Infraestrutura

Para desenvolvimento desse trabalho utilizamos um Fortigate 110c com a ultima versão

de firmware (5.1), dois celulares com o sistema operacional android com o aplicativo

FortiToken Mobile para o token. Configuramos uma maquina com o serviço de terminal

para testar os recursos da rede local. Como pode ser visto abaixo na figura 1.

Figura 1: Desenho da Infraestrutura.

3.1. Configurações do Fortigate, FortiToken Mobile.

As configurações realizadas nos equipamentos são descritas abaixo, como se pode

notar, e necessário poucos passos para habilitar o um portal SSL VPN para acesso aos

recursos da rede local e o segundo fator de autenticação. A instalação do software

FortiToken mobile nos celulares e feito através da play store, loja de aplicativos do

android.

Passo 1: Configurar um servidor de e-mail para ativação do Token: No menu System –

Config – Messaging Servers.

Page 5: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 2: Configuração do servidor de e-mail para a ativação dos Token.

Passo 2: Cadastro do Token no Fortigate. No menu User & Device – Two-factor

Authentication – FortiToken.

Figura 3: Cadastro do Token.

Passo 3: Associando um Token ao usuário: No Menu - User & Device – User

Definition, selecione o usuário e atribua um token a ele. Marque a opção e-mail address

e configure o e-mail que vai receber o código para ativação do token. O usuário vai

receber um e-mail igual o da figura 5.

Page 6: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 4: Atribuindo um Token ao usuário.

Figura 5: E-mail de ativação recebido.

Passo 4: Cadastro do código do Token no aplicativo FortiToken mobile:

Page 7: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 6: Ativação do Token no Telefone.

Passo 5: Configuração do SSLVPN, criação do grupo de usuários que vão ter acesso.

No menu User & Device – User Group – Create New – Defina o nome para o grupo e

adicione o usuário (necessário já ter os usuários criados), figura 8 mostra os grupos

criados.

Figura 7: Criação Grupo de usuários.

Page 8: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 8: Grupos criados

Passo 6: Configuração SSL VPN, criação do portal: No menu VPN – SSL –Portal no

botão + do lado direito você cria um novo portal. Nessa tela se define o nome do portal,

e habilita as aplicações que vai ser acessível pela SSL VPN.

Figura 9: Configuração do Portal SSL VPN

Passo 7: Configuração politica de firewall: No menu Policy – Policy – Create New.

Page 9: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 10: Criação das politicas de firewall.

Passo 8: Teste de conexão: em um navegador acesse o endereço externo do firewall

http://rodolfo.fortiddns.com:10443 vai cair na tela de autenticação do portal, que vai ser

solicitado usuário e senha (figura 11). O firewall conseguindo validar o usuário e senha

ele vai solicitar o Token (figura 12). Após essa etapa de autenticação vai mostrar o

portal SSL VPN (figura 13) com os acessos disponíveis á rede local.

Figura 11: Tela de autenticação do portal.

Figura 12: Tela de autenticação solicitando o Token.

Page 10: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 13: Tela do Portal SSL VPN

4. Testes realizados

O objetivo dos testes realizados visa mostrar a facilidade de se conseguir os dados de

acesso de um usuário (usuário + senha). Vamos utilizar as ferramentas que vem na

distribuição Backtrack Linux (Distribuição Linux voltada para testes de segurança),

Sniffers, e outras ferramentas que qualquer usuário consegue baixar da internet e

executar sem nenhum conhecimento técnico.

Figura 14: Desenho do ambiente de teste.

4.1. Teste de ataque Man-in-the-middle.

Nesse teste estaremos fazendo um ataque conhecido como Man in the middle com

arpspoof para atacar nosso servidor gateway, durante a execução do sslstrip. O Nosso

Alvo vai ser o próprio appliance da Fortinet (Fortigate 110c) vamos tentar descobri o

usuário e senha dele.

Page 11: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

A técnica Man-in-The-Middle, funciona de modo que o hacker engana o cliente e o

servidor, engana o cliente se fazendo passar por um servidor de proxy e engana o

servidor se passando pelo próprio cliente, desta forma os dados chegam até o hacker em

texto puro, pois os dois pensam que o hacker é uma fonte confiável. [4], como e

mostrado na figura 15.

Figura 15: ataque Main in The Middle

Arpspoof é uma técnica usada para tentar convencer o host que o MAC address dele é o

MAC address do router. ARP é o protocolo de resolução de endereços que trabalha na

camada 2 do modelo OSI. O que o ARPspoof faz basicamente e enviar pacotes ARP

falsos na rede, com o objetivo de associar o endereço MAC do atacante com o do

gateway da rede, com a intenção de enganar as máquinas ligadas ao segmento de rede.

SSLstrip trabalha de uma forma bem simples, ele altera todos os GET's HTTPS por

HTTP de uma página, e por meio de um ataque man int the middle, faz com que a

vítima e o atacante se comuniquem via HTTP, quando na verdade o atacante e o

servidor estão se comunicando via HTTPS.

Configuração do ambiente:

Utilizamos a distribuição Linux BackTrack 5 r3, na qual já vem instalado todas as

ferramentas necessárias para realização do ataque.

Passo 1: Ativar roteamento de pacotes: abra uma console e digite o seguinte comando:

echo “1” > /proc/sys/net/ipv4/ip_forward

Passo 2: Configuração do iptables para redirecionar todo tráfego HTTP para o sslstrip

na porta 8080:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-

port 8080

Passo 3: Identificação do gateway da rede, em uma console digite o comando netstat -nr

como mostrado na figura 16.

Page 12: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 16: Identificação do gateway.

Passo 4: Iniciando o ataque arpspoofing, execute o comando abaixo em uma console:

arpspoof –i eth0 10.11.31.253.

Figura 17: Ataque ArpSpoofing iniciado

Passo 5: Iniciando o SSLSTRIP, em uma nova console execute o comando sslstrip -l

8080

Figura 18: sslstrip sendo executado

Passo 6: Coletando os dados do ataque com o ambiente pronto, fazendo o arpspoof e o

sslstrip capturando o trafego. Abra outra console para verificar o que esta passando: tail

–f ssltstrip.log

Figura 19: Ambiente do ataque sendo executado

Page 13: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Passo 7: Testando a captura dos dados: a partir de uma maquina da rede, acessamos o

endereço externo http://rodolfo.fortiddns.com (endereço do firewall) conseguimos ver

no log o usuário e senha, que foi capturado. Foi também possível capturar o código do

Token utilizado, como mostrado na figura 20.

Figura 20: Tela com os dados capturados.

Como pode ser visto na figura acima, foi possível capturar as informações que

queríamos o usuário e senha, mas também foi possível capturar o código do token

utilizado. Mas mesmo com essas informações o atacante não conseguira o acesso a

pagina, pois o código do token só tem validade para uma utilização, é e gerado um novo

código a cada 60s.

4.2. Ferramentas da Internet.

Outra maneira de descobrir usuário e senha e através de ferramentas que vasculham o

computador atrás de senhas salvas. Basta uma pesquisa simples no google.com.br

como: senhas salvas pc como recuperar, que você vai encontrar varias ferramentas, na

qual não é necessário nenhum conhecimento técnico para executar. Uma dessas

ferramentas e o SpotAuditor, com ele e possível recuperar senhas salvas no navegador,

conexão dial-up (VPN), msn, Gtalk etc.

Page 14: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

Figura 21: SpotAuditor rodando

Essa forma de ataque, a pessoa precisa ter acesso a maquina, isso pode ocorrer de

diversas formas, por exemplo, sair e deixar a maquina desbloqueada, levar a maquina

para uma assistência técnica.

5. Conclusões

Foram demonstradas duas formas de se conseguir os dados do usuário, mas existe

enumeras formas de se obter os dados, pode se notar que são dois métodos fáceis de

executar, mas que conseguem atingir seu objetivo.

O que ocorre com muita frequência e o usuário utilizar o mesmo usuário e senha para

vários sites, como e-mail, redes sociais, bancos etc. Uma pesquisa da securityweek [5]

revela que 75% dos usuários usam a mesma senha de e-mail para redes sociais. Outro

estudo revela que seis em cada 10 usuários usa os mesmos usuário e senhas para vários

sites [6].

A partir dessas informações podemos deduzir que se descobrindo a combinação de

usuário + senha de um usuário teremos grande chances de ter acesso a outras

informações.

Mas agora a utilização do segundo fator de autenticação, mesmo que essas informações

de usuário e senha sendo descobertos não vai ser possível conseguir o acesso. Como

Page 15: Maikon Kenny Correa de Almeida - ppgia.pucpr.brjamhour/RSS/TCCRSS11/Maikon%20Kenny%20... · Curso de Especialização em ... e outras ferramentas que qualquer usuário consegue baixar

mostrado no teste, por causa da validade do token, e a restrição de apenas uma

utilização.

Podemos concluir que se possível não utilizar mesmos usuário e senhas para vários

serviços e uma boa pratica, e que se possível não salvar senha em navegadores,

conexões dial-up e clientes de mensagem instantâneas.

Consideramos que no futuro, todas as aplicacoes vao precisar integrar o segundo fator

de autenticacao dentro do codigo delas, usando os APIs para integrar com os tokens.

Para ter uma referencia, as aplicacoes ficariam similares ao que ja conhecemos nos sites

dos bancos. Além de integrar os API’s os codigos dos tokens devem ser digitados

fazendo click nos numeros e nao usando o teclado, isto para evitar a captura dos tokens

como foi apresentado durante os testes.

6. REFERÊNCIAS BIBLIOGRÁFICAS

[1] Siqueira, Marcelo Costa. Gestão estratégica da informação / Marcelo Costa Siqueira.

– Rio de Janeiro: Brasport, 2005.

[2] Cheswick. William R. Firewalls e segurança na Internet: repelindo o hacker ardiloso

/ William R. Cheswick. Steven M. Belovin e Aviel D. Rubin: tra. Edson Furmankiewicz

– 2.ed. –Porto Alegre: Bookman, 2005.

[3] Santos, Alfredo. Gerenciamento de identidade / Alfredo Santos. – Rio de Janeiro:

Brasport, 2007.

[4]A técnica man in the middle. http://www.securityhacker.org/artigos/item/a-tecnica-

man-in-the-middle , acessando em 16/01/2013.

[5]Estudo Revela 75% usa o mesmo usuário e senha para redes sociais e e-mail.

http://www.securityweek.com/study-reveals-75-percent-individuals-use-same-

password-social-networking-and-email acessado em 16/01/2013.

[6]6 em cada 10 internautas usam a mesma senha para vários sites,

http://tecnologia.ig.com.br/2012-10-01/seis-em-cada-10-internautas-usam-mesma-

senha-para-varios-sites-diz-estudo.html acessado em 16/01/2013.

[7] http://kb.fortinet.com acessado em 10/01/2013.

[8] http://www.brasiline.com.br/index.php?id=/fabricantes/materia.php&cd_matia=165

acessado em 04/01/2013.

[9] http://forum.pfsense.org/index.php?topic=46063.0;wap2 acessado em 04/01/2013.