Introduction to Hardening: A Short Course

Curso Introdutório de Hardening Minimizando Riscos Através do Fortalecimento de Sistemas

Curso Introdutório de HardeningMinimizando Riscos Através do Fortalecimento de Sistemas

Michel Alves dos SantosCentro de Pesquisa em Matemática Computacional

Universidade Federal de Alagoas, Campus A. C. SimõesTabuleiro do Martins - Maceió - AL, CEP: 57072-970

{michel.mas, michel.santos.al}@gmail.com

14 de Julho de 2011

Michel Alves dos Santos - Universidade Federal de Alagoas Circuito Alagoano de Tecnologia da Informação - CIATI


Introdução ao Conceito de Hardening

HardeningÉ um processo de mapeamento de ameaças, atenuação de riscos e execução deatividades corretivas, com foco na infra-estrutura e com o principal objetivo depreparar o ambiente alvo para enfrentar determinadas tentativas de ataque ou

violação dos protocolos de segurança da informação.

Envolve Vários Outros Conceitos‘Inviolabilidade’ de Sistemas;Balanceamento Entre: Segurança, Flexibilidade e Risco;Superfície de Ataque (Attack Surface);Segurança em Camadas (Layered Security);Gestão de Segurança da Informação e Cultura da Segurança.













































Inviolabilidade de Sistemas!

Existem Sistemas Invioláveis?

Que Sejam Realmente 100% Seguros?



Inviolabilidade de Sistemas!

Existem Sistemas Invioláveis?

Que Sejam Realmente 100% Seguros?



Vamos fazer uma pequena análise...

O que caracteriza um sistema 100% seguro ?



Primeiro...

Ele não pode ter sido projetado por seres humanos!



Primeiro...

Ele não pode ter sido projetado por seres humanos!



Segundo...

Deve permanecer desligado e incomunicável!



Segundo...

Deve permanecer desligado e incomunicável!



Terceiro...

Deve estar protegido por uma caixa de cimento echumbo!



E por último...

Ele deve estar perdido no meio do Espaço Sideral!

De preferência, o mais próximo possível de Pandora!



E por último...

Ele deve estar perdido no meio do Espaço Sideral!

De preferência, o mais próximo possível de Pandora!



Sendo assim...

ConclusãoNão existem sistemas 100% seguros!

Pois segurança é um contrato de risco!



Sendo assim...





Sendo assim...





Sendo assim...





Mesmo assim...

Podemos tirar os sistemas do estado de caos primordiale levá-lo a um estado... digamos, mais “seguro”!

Porém, antes de tudo, devemos analisar 3 fatores essenciaisinseridos no contexto da Gestão da Segurança da Informação.



Mesmo assim...





Mesmo assim...





Análise dos 3 fatores...

Como posso ter um sistema com a máxima eficiênciano que tange o modelo de Gestão da Segurança da

Informação?

Os 3 fatores básicos:Segurança;Flexibilidade;Risco.

Escolha um e abandone dois!





Informação?







Informação?







Informação?







Informação?







Informação?







Informação?





Equilíbrio entre os fatores.

Balanceamento entre os fatores que devemoslevar em consideração!

Através da ponderação desses 3 fatores minimizamos nossasuperfície de ataque!



Equilíbrio entre os fatores.

Balanceamento entre os fatores que devemoslevar em consideração!

Através da ponderação desses 3 fatores minimizamos nossasuperfície de ataque!



O que é Superfície de Ataque?

É uma medida de rigidez e penetrabilidade em sistemas ouperímetros.

Quanto menor a superfície de ataque de um sistema, mais robusto será omesmo!

Conhecer nossa superfície de ataque é o primeiro passo quando estamospensando em segurança em camadas.





















Segurança em Camadas.

É atraves das características do processo de Hardening quepodemos avaliar, delimitar e mensurar o quão íntegra é a nossa

segurança quando disposta em camadas.



Implantando a Cultura de Segurança da Informação

Além dos conceitos apresentados até o momento, tambémdevemos nos ater aos conceitos de Gestão e Cultura de

Segurança da Informação.

Conceitos que não tem sido levados em conta na maioria dasinstituições e coorporações.

E esse tipo de descaso tem gerado prejuízos da ordem demilhões de dólares para muitos segmentos.

Instituições Financeiras (Seguradoras e Bancos);Instituições Governamentais;Empresas Multinacionais.











































Gestão de Segurança da Informação

Gestão de Segurança da InformaçãoÉ o processo que visa a minimização de riscos inerentes à informação em sistemas

computacionais.

Caracteriza-se pela definição de políticas de segurança, as quais baseiam-se em umconjunto de normas, padrões e procedimentos relacionados às boas práticas na

segurança da informação.





computacionais.







computacionais.





Gestão de Segurança da Informação e Hardening

Onde o Hardening se localiza dentro do modelo deGestão da Segurança da Informação?

De posse dos conceitos vistos até o momento já podemos adentrar, de maneiraintrodutória, às técnicas do processo de Hardening.



Gestão de Segurança da Informação e Hardening

Onde o Hardening se localiza dentro do modelo deGestão da Segurança da Informação?

De posse dos conceitos vistos até o momento já podemos adentrar, de maneiraintrodutória, às técnicas do processo de Hardening.



Características do Processo de Hardening

Algumas Características

Fortalecimento do Sistema;

Ajustes Finos;

Procedimentos de segurança pré e pós-instalação.

Mas, primeiramente, devemos estimar ondeaplicar as técnicas do processo de Hardening,por isso o dividimos em categorias e níveis...






Ajustes Finos;








Ajustes Finos;








Ajustes Finos;








Ajustes Finos;





Categorias e Níveis de Hardening

Categorias de Hardening

Hardening de Sistema;Hardening de Serviço;Hardening de Processo.

Normal ou Moderado;Forte ou Robusto;Total ou Completo e Paranóico.

De posse das informações expostas até o momento iremos analisar a aplicação dastécnicas de Hardening de maneira contextualizada!




















































Lápis e papel na mão... a brincadeira vai começar!

O que nós iremos abordar nesse mini-curso?

Hardening de Sistema

Hardening de ServiçoUsando como ambiente alvo o SistemaOperacional GNU/Linux e os serviços

disponíveis ao mesmo!
























Entendo a Estrutura do Sistema GNU/Linux

Como é composto o Sistema GNU/Linux?

Escolha uma distribuição que se adeque ao seu perfil.

http://www.distrowatch.com/top.phphttp://www.linux.org/dist















GNU/Linux e Distribuições

Mas Cuidado ao Escolher uma Distribuição!

Escolha uma distribuição que atenda aos seguintes itens:

Seja extremamente estável e enxuta;Possua um bom repositório (quantidade diversificada de pacotes);Possua uma comunidade de colaboradores ampla e bem estabelecida;Seja leve e personalizável possuindo foco na segurança;

































Objetivos do Servidor

Quais Serão os Serviços Providos?

Esta é a primeira pergunta que deve ser feita!

Para cada servidor existirá um sistema de particionamento eum conjunto de pacotes que melhor irão se adequar as

situações enfrentados pelos serviços providos.

Lembre-se: Planejamento antes de tudo!

Adiante iremos exibir alguns exemplos de perfis de softwareque podem ser adotados no momento da instalação de

servidores e provedores de serviços.











































Perfis de Software (Mail, Web e Gateway Server)



Perfis de Software (FTP, DNS e File Sharing)



Perfis de Software (Database, Backup e VPN)



Tópicos Fundamentais em Hardening de Sistema.

Hardening de SistemaSegurança no Sistema de Arquivos;Arquivos com Suid Bit ativos;Segurança no Terminal;Gerenciamento de Privilégios;Procura por senhas fracas;Check-list nos Serviços do Sistema.



























Segurança no Sistema de Arquivos.

Particionamento

Em relação a Segurança do Sistema de Arquivosas boas práticas aconselham a particionar o

disco colocando os principais diretórios (/boot,/home, /var e outros) nessas partições.




Particionamento

Em relação a Segurança do Sistema de Arquivosas boas práticas aconselham a particionar o

disco colocando os principais diretórios (/boot,/home, /var e outros) nessas partições.




Particionamento

E o diretório /tmp, temalguma importância?

O diretório /tmp é essencial para a maioria dasatividades do sistema!

Compactação/Descompactação;Instalação de Pacotes;Compilação.




Particionamento







Particionamento







Particionamento







Particionamento







Particionamento







Opções de Montagem

Algumas opções de montagem podem trazer maior segurança./dev/hda5 /tmp ext3 defaults,noexec 0 2/dev/hda6 /home ext3 defaults,nosuid 0 2

As opções de montagem devem ser escolhidas de formacriteriosa pois ao mesmo tempo que elevam a segurança dosistema também diminuem drasticamente a flexibilidade.















Arquivos com Suid Bit ativos.

Como devemos proceder?

Listar todos os arquivos com esses bits ativos;Tirar as permissões de suid bit dos arquivos no sistema;Colocar permissão de suid bit somente nos arquivos querealmente são necessários.

Comandos para essa tarefa:

# find / \( -perm -4000 -o -perm -2000 \) -type f -print

# chmod -s <file>








# chmod -s <file>








# chmod -s <file>








# chmod -s <file>








# chmod -s <file>








# chmod -s <file>



Segurança no Terminal

Procedimentos para segurança no terminal.

Desabilitar o uso de CTRL+ALT+DEL;Limitar uso de terminais texto;Usar a variável TMOUT;Usar o programa vlock.























Gerenciamento de Privilégios

Procedimentos que devem ser levados emconsideração.

Bloquear login do usuário root;Determinar datas de expiração para contas;Remover shells de usuários que não precisam.

Observe que os serviços hplip, gdm e mysql não possuemshells válidas.




























Utilização do PAM - Funções para Hardening.

Limitar horários de login remotos e locais;Limitar quantidade de “login’s” por usuário;Definir tamanho mínimo de senhas;Limitar quais usuários poderão ter acesso de root.Limitar comandos como o temido fork bomb shell.




























Gerenciamento de Privilégios - Limitação de Comandos

O Comando da Morte# :(){ :|:& };:

# bomb () { bomb|bomb& }; bomb


















Procura por senhas fracas

A Ferramenta John The Ripper.Programa de brute force local que pode serutilizado por administradores para validar aforça das senhas dos usuários de um sistema.

!!!MUITO CUIDADO!!!A ferramenta John The Ripper pode ser usada contra

você!






você!






você!



Check-list nos Serviços do Sistema

Será que todos os serviços instalados porpadrão são necessários?

Algumas ferramentas podem ser utilizadaspara a checagem de serviços.

netstatnmaphpinglsof

































Check-list nos Serviços do Sistema - Exemplos

# lsof -i -n -R -g

# netstat -tanulp

# nmap -A -p 1-65535 <host>




# lsof -i -n -R -g

# netstat -tanulp

# nmap -A -p 1-65535 <host>




# lsof -i -n -R -g

# netstat -tanulp

# nmap -A -p 1-65535 <host>



Hardening de Serviço - Um Exemplo Usando SSH

Hardening de Serviço

Proibir o login como super-usuário;Utilizar apenas a versão 2 do protocolo;Alterar a porta padrão(22) para outra qualquer;Usar restrições de login: inatividade, PAM, etc;Liberar acesso apenas para usuários específicos;Aplicar verificação DNS;Permitir login apenas de certos hosts;Bloquear as demais conexões;Audite toda e qualquer atividade do serviço.

















































# Proibir login como rootPermitRootLogin no# Usar apenas o protocolo versão 2Protocol 2# Alterar a porta padrão para 444Port 444# Restringir o endereco de escutaListenAddress #(endereço ip)# Restrições de loginLoginGraceTime 1mUsePAM yesAllowUsers (Userssh1) (Userssh2)PrintMotd noUseDNS yes



Outras Medidas de Fortalecimento de Sistemas

Exemplos de Outros Métodos de Hardening

Aplicação de patches ao kernel: Exec Shield, Pax, etc.

Desabilitação de serviços e componentes desnecessários.

Instalação de IPS’s, IDS’s, Filtros de Conteúdo e Firewalls.

Auditoria de vulnerabilidades: Nessus, SARA, NMAP, etc.

Substituição de serviços clear-text: telnet, ftp, smtp, etc.

Uso de hardening scripts: JASS, Apache/PHP Hardener,SASTK, etc.































































Existe algum assistente para Hardening no Linux?

Bastille(http://bastille-linux.sourceforge.net)



Para Finalizar...

Algumas Ferramentas de Auditoria Rápida

id, w, who, last, lastlog, etc.

uptime, top, ps, etc.

Hackers experientes instalarão trojans na maioria dessasferramentas!



Para Finalizar...







Para Finalizar...







Para Finalizar...







Terminando...

Algumas sugestões de leitura descontraída!



Terminando...




Terminando...




Esses foram apenas alguns conselhos...

Para que seu sistema que hoje provavelmente é assim ...



Esses foram apenas alguns conselhos...

...amanhã esteja assim...



Isso é tudo pessoal !!!



Cuide bem dos seus sistemas !!!



Se Você Está me Ouvindo...

Você é da Resistência!Michel Alves dos Santos - Universidade Federal de Alagoas Circuito Alagoano de Tecnologia da Informação - CIATI


Se Você Está me Ouvindo...

Você é da Resistência!Michel Alves dos Santos - Universidade Federal de Alagoas Circuito Alagoano de Tecnologia da Informação - CIATI


Agradecimentos

Materiais e ReferênciasWillian Corrêa - www.imasters.com.br;

Cesar Augusto Domingos - www.4linux.com.br;

Juniper Networks - www.juniper.net;

André Luiz Facina - www.dicas-l.com.br;

James Turnbull - Livro: Hardening Linux;

Charalambous Glafkos - Securing & Hardening Linux

Steve Grubb - Hardening Red Hat Enterprise Linux;

Azzam Mourad - Security Hardening of Open Source Software.



Agradecimentos

Grato Pela Atenção!Michel Alves dos Santos - [email protected]

@Michel_Alves_ - https://twitter.com/#!/Michel_Alves_

https://plus.google.com/110060332771581453284

http://www.facebook.com/#!/michel.alves.santos


Education

Introduction to Hardening: A Short Course