Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Segurança em Linux
João Bosco Teixeira Junior
Disponível em:www.boscojr.com/palestras/fafica-jt.pdf
Sobre esse que vos fala...● Bacharel em Ciência da Computação – UFPE
(2004)● Especialista em Criptografia e Segurança de
Redes – UFF (2007)● Mestre em Ciências Geodésicas e Tecnologias
da Geoinformação – UFPE (2010)● Analista do Serviço Federal de Processamento
de Dados – SERPRO desde 2004 (Só tecnologias abertas – Graças!)
● Entusiasta de tecnologias abertas (Linux, Arduino, SBCs, Asterisk, etc..)
● Maker de nascença
Roteiro● Software Livre e Aberto● Distribuições● Dimensões da Segurança● Boas práticas na administração de sistemas● Segurança de Host● Segurança de Rede● Segurança da Informação● Outros aspectos
FOSS – Free and Open Source Software
● 4 Liberdades (Free Software)– Você consegue usar o seu sistema para o que você
quer?– Você consegue estudar o código e modificá-lo
conforme suas necessidades?– Você pode redistribuir o seu programa de forma a
ajudar outras pessoas?– Você pode contribuir com ajustes com os
programas que você usa?
Pilares do Software Livre● Usuários● Comunidade● Documentação
O Ministério do SL adiverte:
Antes de adotar um Software Livre ou Aberto verifique o uso do software e principalmente a atividade da
comunidade que o suporta
O Trabalho com Software Livre e Aberto
Flexibilidade = ∞
O Trabalho com Software Livre e Aberto
Linux e Distribuições
Distribuições Linux● Kernel Linux + Milhares de Softwares (Pacotes)● Alta capacidade de customização● Publico Alvo x Aplicativos embarcados● Distribuições
– De uso geral: Debian, CentOS– Específicas: Kali (Antigo Backtrack), Ubuntu
Cristian Edition– Com serviço de suporte (Subscrição)
● Red Hat Linux, Oracle Linux, Suse Linux
Segurança x Flexibilidade
SEGURANÇA
1FLEXIBILIDADE =
Então:
Segurança = ∞ Flexibilidade = 0
Dimensões da Segurança● Sistema● Host● Rede● Informação● Análise em Segurança
SEGURANÇA DO SISTEMA
BOAS PRÁTICAS
Escolha senhas fortes
Automatic Password Generator# apg
Proteja a sua senha
Fonte: http://www.techradar.com/news/software/applications/8-of-the-best-linux-password-managers-916152
Use um Password Manager
Fiagaro's Password Manager, Gpass, Gpassword Manager, Gringotts, KeePassX, MyPasswords, PasswordSafe, Revelation
Mantenha o seu sistema atualizado
# apt-get update && apt-get upgrade # yum updateOU
Desinstale e/ou Desabilite e os serviços sem uso
# netstat -ntpl
Não use a configuração padrão● Hardening de SO e do serviço
– Use checklists– Scripts para SO Linux (Bastille e Lynis)
● Separe partições rw para todos os users– /tmp– /var/tmp
● Use quotas de armazenamento
Use distribuições Consolidadas...
Ou enterprise ($$)
Gestão de Acesso e Usuários● Não usar root para login remoto● Mais sudo e menos su● Remover ou desativar “ex-usuários”
Acesso físico● Senha no GRUB● Criptografia de Sistema de Arquivos
Faça logs● Questões:
– Centralização– Tempo de Guarda– Armazenamento– Busca de informações
Sorria! Você está sendo logado
Use Antivírus?● Recomenda-se uso de Antimalware
– Entidades certificadoras exigem– Interações com MS/Windows
● Clamav
SEGURANÇA DO HOST
TCP Wrappers● Usado para restringir acesso aos serviços de
rede.● Wrapper: tcpd ● Ou binários linkados com a libwrap● # ldd /usr/sbin/sshd
– linux-gate.so.1 => (0xb7722000)– libwrap.so.0 => /lib/i386-linux-gnu/libwrap.so.0
(0xb7674000)
● /etc/hosts.allow e /etc/hosts.deny– All:200.20.20.20
Port Knocking● Single Package Autorization
Fonte: http://www.portknocking.org/
Segurança do Host● Fail2ban
– Protege o servidor de ataques de força bruta através da analise de logs de acesso e autenticação.
– Cria regras de iptables ou TCP_WRAPER● OSSEC
– HIDS (Host Based IDS)– Analise de Logs, checa integridade, monitora
registro (Windows), detecção de rootkits– Por responder aos ataques (Prevenção)– Comprada pela TrendMicro
SEGURANÇA DA REDE
MECANISMOS DE SEGURANÇA
MECANISMOS DE SEGURANÇA
MECANISMOS DE SEGURANÇA
MECANISMOS DE SEGURANÇA
IDS
MECANISMOS DE SEGURANÇA
IDSPROXY
FIREWALL DO LINUXNETFILTER/IPTABLES
● Iptables: comando de gerenciamento do firewall do kernel Linux (NETFILTER)
● Tabelas: O que fazer com o pacote?● Cadeias: “Tubo ou duto” por onde o pacote
passa● Regras (operam sobre os pacotes)● Firewall
– Padrão: Filtros de Pacotes (1a Geração)– Estados: -m state (2a Geração)– Inspeção de Pacotes: -m string
● Próxima Versão: NFTABLES (Kernel 3.13)
NETFILTER/IPTABLESTabelas/Tables
● O que você deseja fazer com o pacote?● Bloquear e Liberar pacotes?
– FILTER● Mudar endereços e/ou portas de origem e/ou
destino do pacote?– NAT
● Mudar outros campos do cabeçalho do pacote– MANGLE– Ex: QoS
● Bloquear e liberar pacotes antes do sistema de processamento do pacote (Connection Tracking).– RAW
NETFILTER/IPTABLES(Cadeias ou Chains)
● “Duto” por onde o pacote passa e pode ser manipulado pelas regras
Fonte: http://stuffphilwrites.com/2014/09/iptables-processing-flowchart/
Módulos do Iptables● Permite estender as funcionalidades do Iptables● -m limit --limit num/tempo● -m multiport● -m mac● -m owner● -m string (CPU BOUND!)
Fonte: http://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/Firewall_iptables/Outros_m%C3%B3dulos_do_iptables
Proxy
● Estima-se que 30% do tempo dos funcionários de uma organização são em atividades recreativas
● Leis que responsabilizam o dono da estrutura● SQUID/DANSGUARDIAN● Dificuldade em classificar o conteúdo
(SQUIDGUARD)– Usar listas livres ou comprar (Squidblacklist.org)
IDS/IPSDectecção e Prevenção
● Recebem todo e trafego das redes analisadas● Posicionamento: In-line (SPOF) ou out-of-band● Trabalham com base em conteúdo ou comportamento
do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo
Fonte: http://www.pedropereira.net/ips-ids-o-que-e-tutorial/
IDS/IPSDectecção e Prevenção
● Recebem todos os pacotes que trafegam pelas redes analisadas
● In-line vs out-of-band● Trabalham com base em conteúdo ou
comportamento do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo
IDS/IPS
Fonte:http://wiki.aanval.com/wiki/Snort_vs_Suricata
Segurança da Informação● SSH – Security Shell
– Acesso remoto● GPG (Gnu Privacy Guard) -
https://www.gnupg.org/– Criptografia de chave pública
● Criptografia de FS– Dm-crypt (Nativo)
● Frontend (CryptSetup)– Truecrypt (http://www.truecrypt.org/)
● v.7.2 (05/2015) - Descontinuado– Loop-AES (http://sourceforge.net/projects/loop-
aes/)● V.3.7c (05/2015)
– Enc-FS (https://vgough.github.io/encfs/)● v.1.8.1 (03/2015)
https://www.gnupg.org/
Outros Aspectos● Auditoria em Segurança
– Sleuth kit + Autopsy (Frontend)– Kali Linux Distro
● Security vs Safety● Safety preocupa-se com continuidade
– Alta disponibilidade e Recuperação de Desastres
Fechamento● Trabalhar com SL é compor soluções;● São muitas as opções de software livre então
escolha com cuidado;● As coisas mudam, então estude;● Segurança deve está em tudo que você faz.
Analise os riscos
Fim