Single Packet AuthorizationAumentando a segurança no SSH

Leandro Almeidalcavalcanti.almeida@gmail.com

III ENSOL Liberdade no ExtremoJoão Pessoa­PB 19,20 e 21 de Junho de 2009

   

Quem é esse cara ai...?

● Graduado em Redes de Computadores (Antigo CEFETPB)

● Pós­Graduando em Segurança da Informação (Faculdade iDEZ)

● Analista de Segurança da Informação (Secretaria de Estado da Receita – PB)

● Membro da Comunidade TCOS Brasil

   

AGENDA

● SSH

● Firewall

● Port Knocking

● Single Packet Authorization

● FWKNOP

● Prática

● Perguntas

   

Quem aqui usa SSH?

   

Você acha o SSH seguro?

   

● CERT® Advisory CA­2002­18 OpenSSH Vulnerabilities in Challenge Response Handling

● USN­649­1: OpenSSH vulnerabilities

● OpenSSH Security Advisory: cbc.adv ­ Plaintext Recovery Attack Against SSH CPNI­957037

● CPNI Vulnerability Advisory SSH – CPNI­957037

● openssh vulnerability CVE­2008­0166, http://www.ubuntu.com/usn/usn­612­1

● O ssh é uma “implementação” do protocolo, e têm falhas

   

Vem sempre alguém e diz... se não esta seguro coloca um 

FIREWALL

   

Pesquise/Projete uma solução para o seu problema

   

Senão um atacante pode obter sucesso!

   

Eis que surge uma luz no fim do túnel

   

● Port Knocking● Literalmente, “batendo porta”

● A técnica é construída sob uma sequência de pacotes pré­determinados

● Se a sequência estiver errada, nada(acesso SSH) será liberado

● Utiliza os campos reservados para as portas TCP/UDP

●  Não utiliza criptografia

   

1º Momento: AZUL2º Momento: Vermelho3º Momento: Verde

   

Problemas...

   

A criptografia não pode ser utilizada

   

Por algum motivo, os pacotes podem chegar fora de ordem, o que inviabiliza a solução

Um atacante pode ficar “enviando” pacotes para portas aleatórias, quebrando assim a sequência knock de um cliente legítimo

Susceptível a ataques de Replay

   

E agora? quem poderá nos salvar...

   

Single Packet Authorization

   

É uma técnica baseada no Port Knocking

O SPA herda os pontos fortes  e corrige as principais falhas do Port Knocking

A aplicação que implementa o SPA é o FWKNOP (FireWall KNock OPerator) 

O FWKNOP é um Software Livre mantido por Michael Rash

http://cipherdyne.org/fwknop/

   

Apenas um pacote é enviado

Corrigindo o problema da entrega fora de ordem

Utiliza a parte de dados do pacote

Corrigindo o problema da criptografia

Cria uma regra temporária no firewall, permitindo o acesso apenas do cliente

Não existe a possibilidade de utilizar o mesmo pacote num intervalo de tempo pré­determinado (default 60s) 

Correção de ataques de Replay

   

Possibilidade de cifrar pacotes com chaves

Simétricas (Rijndael)

Assimétricas (GPG + ElGamal)

Faz a decifragem dos pacotes para a verificação

IP  do  pacote  com  o  IP  contido  na área cifrada

Adição  de  um  bloco  de  conteúdo randômico  gerado  para  cada  pacote, permitindo assim a criptografia única 

   

Pacote SPA

   

Cenário para os testes

   

1º Momento: Sem SPA

   

2º Momento: Com SPA

   

Acesso SSH Liberado \o/

   

   

   

Leandro AlmeidaBlog:leandro­cavalcanti.blogspot.comEmail:lcavalcanti.almeida@gmail.com

Obrigado!

   

Referências● http://www.cipherdyne.org/fwknop/

● http://www.linuxjournal.com/article/9565

● http://www.linux.com/archive/feature/135100

● http://www.jsena.info/downloads/palestras/JansenSena_FISL9_Single_Packet_Authorization.pdf

●