Marta Vuelma

Alfasys Tecnologia

Hardening Linux Servers

Agenda

Apresentando fatos Obstculos para a segurana O que hardening Tcnicas de hardening Perguntas

Alguns fatos sobre segurana

Os principais tipos de ataques reportados ao CERT.br e outras instituies ocupadas em criar estatsticas sobre segurana so:

SPAM (s no primeiro trimestre de 2010, o nmero de registros ultrapassou os 10 milhes. Phishing (aumento de 61% em um ano) Fraudes (manteve-se estvel) Ataques a servidores Web (42% maior que o mesmo perodo de 2009)
Dados de Abril/10

Alguns fatos sobre segurana (cont.)

A maioria destes ataques exploram vulnerabilidades conhecidas de servidores e esto sendo usados para atacar outros servidores. Somente um firewall convencional (stateful firewall) NO consegue proteger um servidor contra este tipo de ataque.

Nmeros

Obstculos para a segurana

Segurana requer planejamento; Segurana requer monitoramento; permanente Segurana requer atualizao constante, tanto das ferramentas em uso quanto dos profissionais envolvidos. Apesar de j existirem muitos padres internacionais de segurana (como SarbanesOxley, por ex.), a maioria das organizaes possui mecanismos pobres de segurana e ausncia quase que total de polticas e cultura de segurana.

Obstculos para a segurana (cont.)

Os usurios no esto preparados para uso adequado dos recursos; Atualmente, o objetivo primrio compartilhar e no proteger; A segurana um processo permanente. No existem solues do tipo Instale-Esquea Muitos profissionais utilizam-se de falsos conceitos de segurana para montar suas redes.

O que hardening?

um processo utilizado em diversos nveis de recursos em servidores para proporcionar segurana mais completa e efetiva. A partir do momento em que conectamos um equipamento em uma rede, ele no est mais seguro. Isso inclui desde o processo de instalao at a liberao para produo. A ampla oferta de ferramentas para hardening de servidores, permite ao administrador montar o conjunto ideal de ferramentas para o seu cenrio.

O que hardening? (cont.)

As ferramentas disponveis hoje para Linux oferecem um nvel de segurana muito elevado para servidores e estaes. A utilizao das tcnicas de hardening, somada a uma poltica de monitoramento e atualizao constante, garante um nvel de proteo muito alto. O objetivo do hardening de servidores a manter os intrusos o mais longe possvel pelo maior perodo de tempo com mltiplas camadas de segurana.

Nvel 0

A segurana de um sistema comea na instalao. Um servidor s pode ser considerado seguro se o processo de instalao utilizou-se das seguintes tcnicas de hardening:

Fontes de instalao confiveis e verificados com a chave GPG do desenvolvedor; Aps a instalao, deve ser gerada uma base de informaes sobre o sistema de arquivos que ser utilizada como matriz para deteco de alterao dos binrios e arquivos de configurao aps a conexo do servidor no ambiente de risco.

Nvel 0 (cont.)

Ferramentas como o Tripwire* ou AIDE oferecem o nvel de controle necessrio para monitorar alteraes no sistema de arquivos.
aidecheck. AIDEfounddifferencesbetweendatabaseandfilesystem!! Starttimestamp:2010010614:41:17 Summary: Totalnumberoffiles=4145,addedfiles=0,removed files=0,changedfiles=1 Changedfiles: changed:/etc/hosts Detailedinformationaboutchanges: File:/etc/hosts Permissions:rwrr,rwxrxrx

Hardening para o SO

Tudo que no explicitamente permitido deve ser proibido. No esquea o bsico:

Troque as senhas default de servios; Use senhas complexas; Desinstale ou desabilite software desnecessrio; Mantenha o SO sempre atualizado; Documente a instalao para permitir uma recuperao rpida em caso de falhas.

Hardening para o SO (cont.)

Apague contas de usurios no usadas e restrinja o acesso de contas do sistema (nobody, guest e qualquer outra conta usada pelo sistema deve ter /bin/false como default shell no arquivo /etc/passwd); Mantenha os logs habilitados e verifique-os periodicamente. Utilize preferencialmente um servidor de logs para armazenar os registros do servidor e mant-los a salvo de invasores (rsyslog uma das melhores opes pois utiliza ssl)

Hardening para o SO (cont.)

Utilize ferramentas para verificar se o servidor est realmente seguro antes de coloc-lo em produo (scanners de porta nmap, por exemplo, sniffers tcpdump ou wireshark, entre muitos outros); nmapp0vAT4host Faa o download de pacotes de software de fontes confiveis e verifique com a chave GPG fornecida pelo desenvolvedor. rpmchecksignome_pacote

Hardening para o sistema de arquivos

Em ambientes crticos, isole os arquivos do sistema em parties somente leitura, o que reduz muito o risco de comprometimento: /bin,/lib,/sbin,/usr somente leitura /var,/usr/var,/home- escrita /opt,/usr/local somente leitura /etc,/usr/local/etc escrita Todo o resto (/) - somente leitura Considerar a necessidade de planejamento de atualizaes para este caso.

Hardening para o sistema de arquivos

(cont.)

Certifique-se que no existem arquivos com SUID, SGID ou sem proprietrio:

find/\(perm004000operm002000\)type fprint find/nouser find/nogroup

Ferramentas de conformidade

Aps todos os ajustes requeridos para o SO e sistema de arquivos, deve ser aplicada uma ferramenta que avalie o estado atual em conformidade com a expectativa de segurana. A figura mostra uma tela do Bastille.

Hardening para rede

O login remoto do root e de outros usurios privilegiados deve ser desabilitado: configure e utilize o sudo; Configure cada servidor com o seu prprio firewall (filtro de pacotes, stateful firewall e firewall de aplicao); Um firewall de aplicao permite suprir a carncia deixada pelos firewalls stateful que no conseguem avaliar alm do binmio protocolo/porta (o netfilter pode utilizar o patch l7-filter)

Hardening para rede (cont.)

Feche todas as portas abertas que no esto sendo usadas e monitore-as periodicamente.
netstatlut

Todos os servios publicados devem ser executados em ambiente chroot. Sempre que possvel, restrinja o nmero de hosts que acessam os servios pblicos. Utilize uma DMZ para isolar servidores que precisam ter servios na Internet.

Hardening para rede (cont.)

Monitore os logins no servidor com alertas no momento em que eles so realizados. A possibilidade de no perceber um comprometimento em um servidor que no acessado frequentemente muito grande. Inclua a seguinte linha no bashrc do sistema: echo 'Login efetuado' `hostname` `date` `who` | mail -s Login efetuado `hostname` `who | awk '{print $5}'` suporte@dominio

Gerenciamento e continuidade

A complexidade dos servios e o nmero de itens que precisam ser monitorados exige ferramentas especficas que coletem informaes e gerenciem alertas como:

Nagios Shinken Zabbix (entre outros)

No existe segurana sem plano de contingncia e recuperao. Para isto, documentao e backup so cruciais.

Referncias

www.isc.org www.cgi.br www.cetic.br www.antispam.br www.cert.br www.websense.com www.antiphishing.org www.netcraft.com

Contato
marta.vuelma@gmail.com marta@alfasys.com.br www.alfasys.com.br martavuelma.wordpress.com

Perguntas

Obrigada!