Segurana no Linux

Guilherme Pontes
lgapontes@gmail.com
www.guilhermepontes.eti.br

Ps-graduao em Segurana de Redes com Linux

 Rede Local

As redes de computadores nem sempre

tiveram dimenso mundial. Os riscos de
invaso eram unicamente limitados rede
local, e por, geralmente se tratar da rede
da prpria empresa, as questes de
segurana eram ignoradas.
 Servidor numa Rede Local

Mesmo contendo as principais

informaes empresariais, os servidores
funcionavam sem o controle de segurana.
Como no eram comuns os casos de
perda/roubo de informaes ocorridas
por acesso de terceiros, isso se tornava
possvel.
 Internet

Por conseqncia da Internet, milhares de

usurios teriam fcil acesso s
informaes contidas nos servidores das
empresas, a partir do momento que estes,
estejam conectados de alguma forma a
ela.
 Soluo para o problema

Infere-se a existncia de dois tratamentos

para esta situao:
Desconectar a rede privada das empresas
da Internet
Criar uma barreira de proteo entre a rede
mundial e a rede privada
Para que precisamos da Internet?

Atualmente, uma empresa globalizada

precisa indispensavelmente de estar
conectada a Internet. Muitas tarefas antes
dificultadas pela distncia e pela falta de
avanados recursos de telecomunicao,
hoje s se tornam possveis na existncia
de uma conexo entre a rede privada ao
mundo.
Para que precisamos da Internet?

Utilizao de recursos da Internet para formao

de uma rede privada entre empresas
Utilizao dos ilimitados recursos oferecidos pela
Internet
Conexo facilitada a terceirizados e fornecedores
Atualizao constante dos sistemas de
informao
Aprimoramento de recursos de telecomunicao
Entre outras necessidades.
 As empresas precisam se
conectar a Internet
Resolver o problema de segurana,
desconectado as empresas da Internet,
na maioria dos casos, uma possibilidade
descartada. Deve-se ento proteger de
alguma forma o link de conexo entre
estas redes de forma a viabilizar o uso da
Internet.
 Segurana da Informao

Sabe-se ento que as restries de

segurana impostas rede no
representam total confiabilidade, pois
devem estar sempre de acordo com as
seguintes questes:
Confidencialidade
Disponibilidade
Integridade
Interface entre a rede e a Internet

Considere que a interface entre a rede

local e Internet funcione por meio de um
computador. O computador por sua vez
necessita de um sistema operacional que
controlar todos seus recursos, inclusive
os quesitos de segurana.
 Sistema de Deteco de Intrusos

Podemos aplicar ao sistema, softwares

especializados no controle de invaso com
o objetivo de reforar a proteo e ainda
gerenciar os processos ocorridos no
sistema atravs da criao de registros
das atividades (logs).
 Importncia dos LOGS

Pode-se considerar que o registro dos

eventos ocorridos nos sistemas
prioridade nas polticas de segurana.
Existe inclusive uma norma
disponibilizada pela NBR ISO/IEC 17799,
onde o item 9.7.1 trata exclusivamente de
questes de registro de eventos.
 Como podemos fazer isso?

Os IDS (Intrusion Detection System)

Sistemas de Deteco de Intrusos, podem
ser aplicados de duas possveis formas:
Aplicados na Regio do Usurio
(User Space)
Aplicados na Regio do Kernel
(Kernel Space)
 Aplicao de IDS na User Space

A aplicao de IDS na User Space trabalha

com uma filosofia simples:
Gerenciar/Controlar o acesso a
determinados itens do sistema de forma a
evitar/dificultar a ocorrncia de invaso
de terceiros.
Aplicao de IDS na Kernel Space

Qualquer atividade ocorrida no sistema

gera uma chamada no kernel
(systemcall). Aplicando um IDS no espao
do ncleo do sistema, todas as operaes
(ilcitas ou no) sero gerenciadas e
registradas. Isso viabiliza a adoo de
sistemas de segurana integrados ao
kernel.
Quando trabalhar com IDS no
User Space?
Apesar de algumas limitaes, os
Sistemas de Deteco de Intrusos
funcionando ao nvel do usurio possuem
sua utilidade. No desktop, por exemplo,
pode-se dizer que ele mais aconselhvel
do que um IDS funcionando no kernel.
 Desvantagens do IDS no
Kernel Space
O IDS rodando no kernel trabalha com
diversas configuraes que s viabilizam-
no, quando ativadas. Contudo, estas
configuraes, atrapalhariam o
funcionamento de diversos programas de
uso comum nos desktops. Os usurios
comuns no gostariam de abdicar de seus
recursos por conta de uma segurana de
alto nvel desnecessria.
 IDS no User Space

Nos desktops, portanto, aconselham-se

usar Sistemas de Deteco de Intrusos
menos robustos, porem mais adequados e
leves. Deve-se destacar que, nestes casos,
no existe necessidade de re-compilar o
kernel. Existem bons produtos de
segurana nvel de usurio. Por
exemplo: Snort e Portsentry.
Quando trabalhar com IDS no Kernel
Space?
Os servidores, em grande maioria, ficam
exclusivamente dedicados a tarefa de
oferecer recursos rede. Por tal motivo,
softwares de uso comum raramente sero
usados e interaes diretas com usurio
no sero freqentes. Esse seria um
ambiente ideal para se trabalhar com IDS
nvel de kernel.
Vantagens do IDS no Kernel Space

Em primeiro plano, qualquer operao

(iniciada pelo sistema, por usurios lcitos
ou intrusos) ocorrida seria gerenciada e
registrada pelo Sistema de Deteco de
Intrusos (devido s systemcalls). Alm
disso, novas restries poderiam ser
implementadas, dificultando/impedindo
o acesso aos arquivos/diretrios.
 IDS no Kernel Space

Para alcanar restries de segurana

extrema em servidores Linux, deve-se
ento trabalhar com os Sistemas de
Deteco de Intrusos ao nvel do Kernel.
Por funcionar integrado ao kernel e exigir
recursos no oferecidos por suas funes
nativas, sua instalao necessita do
processo de re-compilao do kernel.
 SNORT
(modelo de IDS no User Space)

Ps-graduao em Segurana de Redes com Linux

 Snort

O Snort um Sistema de Deteco de

Intrusos (IDS) multi-plataforma com
funcionamento ao nvel do usurio. Por
no estar associado ao ncleo do sistema,
sua instalao simples e no envolve o
processo de compilao do kernel.
 Recursos do Snort

Ele nos oferece a criao de um registro

de eventos (log) registrando as operaes
do computador. Oferece tambm a
possibilidade de desconectar um invasor.
Por fim, permite o envio automtico de
notificaes via e-mail ao administrador
do sistema.
Firewall trabalhando com Snort

Para que todos os recursos do Snort

estejam disponveis, ser necessria a
adoo de um Firewall para os sistemas
Linux (iptables, por exemplo). O
responsvel pela segurana em relao
aos invasores ser o Firewall, e por isso
ele trabalhar em conjunto com o Snort.
Pacotes necessrios pelo Snort

O processo de instalao do Snort,

abordada com mais detalhes adiante,
envolve uma srie pr-requisitos
(pacotes). Abaixo temos um link contendo
a listagem de pacotes necessrios:
Pacotes para instalao do SNORT
 Instalao facilitada

A instalao tambm poder ser realizada,

de forma facilitada, atravs da ferramenta
apt-get. O comando para este tipo de
instalao

apt-get install snort

Mais adiante trataremos os dois tipos de

instalao.
 Configurao

Aps o processo de instalao (via rpm ou

apt-get) algumas configuraes sero
necessrias para o correto funcionamento
do sistema. Todas as configuraes
referentes ao snort esto armazenadas no
arquivo /etc/snort/snort.conf.
 Guardian

O Guardian o software que usaremos em

conjunto com o Snort. Atravs dele
poderemos trabalhar com os registros dos
eventos criados pelo Snort. Ele tambm
nos oferece recursos para trabalhar com
as possveis invases.
 Onde encontrar o Guardian

O Guardian poder ser encontrado no

endereo oficial do Snort:

http://www.snort.org/dl/contrib/other_tools/guardian/guardian-1.6.tar.gz

O arquivo dever ser salvo em /opt.

 IPTABLES X GUARDIAN

Depois da instalao, alguns

procedimentos sero necessrios para
realizar a interligao entre o Firewall
(neste caso, o iptables) ao Guardian. As
configuraes do Guardian esto
armazenadas em:
/etc/guardian.conf
 ltimas configuraes

Atravs das ltimas configuraes,

relacionaremos o funcionamento do
Guardian distribuio utilizada.
Terminada todas configuraes, resta-nos
criar o arquivo de registro de eventos
(logs) e ativar os aplicativos Guardian e
Snort.
 Instalao detalhada

Todos os procedimentos aqui brevemente

descritos (instalao e configurao do
Snort e Guardian) sero revistos de forma
detalhada adiante.
 PORTSENTRY

(modelo de IDS no User Space)

Ps-graduao em Segurana de Redes com Linux

 Portsentry

Outra boa opo de Sistema de Deteco

de Intrusos, disponibilizada pela Psionic,
o software Portsentry. Ele trabalha de
forma anloga ao Snort, oferecendo
recursos de segurana nvel de usurio.
 Evita IPs suspeitos

Outro recurso interessante oferecido pelo

Portsentry o bloqueio de ips. Quando ele
detecta uma tentativa de invaso,
automaticamente os endereos suspeitos
so bloqueados. Com isso os invasores
no podero mais acessar o sistema.
 Processo de instalao

Adiante, todos os procedimentos

pertinentes a instalao do Portsentry
sero trabalhados atravs de um tutorial.
 LIDS
(Linux Intrusion Detection
System)

Ps-graduao em Segurana de Redes com Linux

 LIDS

O LIDS, ou Sistema de Deteco de

Intrusos do Linux, um patch de
melhorias para o kernel escrito por Xie
Huagang e Philippe Biondi. Ele trabalha
com uma srie de configuraes voltadas
para a criao de um ambiente mais
seguro e robusto que funciona no nvel do
ncleo do sistema operacional.
 Algumas funes do LIDS

Mandatory Access Controls (MACs)

(Melhorias na polticas de segurana)
Deteco de Port Scanners
Proteo de acesso a arquivos e pastas
(incluindo pelo root)
Proteo de processos, mdulos e
interfaces.
 Licena do LIDS

O LIDS um conjunto de atualizaes

(patch) oferecidas para diferentes verses
do kernel. Assim como o prprio Kernel, o
LIDS livre e est assistido pela GNU-
GPL (GNU General Public License).
 Onde encontrar o LIDS?

O LIDS pode ser encontrado

gratuitamente em seu site original (
http://www.lids.org/). Deve-se baixar o
LIDS pertinente verso do Kernel que
ser compilado. Segundo o material oficial
disponibilizado no site do LIDS, uma boa
verso a ser trabalhada com o LIDS a
2.4.24.
 Onde encontrar o kernel?

Podemos obter as fontes do kernel nos

seguintes endereos:
http://www.kernel.org
ftp://ftp.kernel.org/pub/
Como adicionar o LIDS ao kernel?

Antes de efetuar a real instalao do LIDS,

vamos entender os processos usados
numa configurao padro. Na verdade, a
configurao inicial do LIDS ser
realizada em conjunto com as
configuraes de compilao do kernel.
 Aplicar o patch do LIDS

Em primeiro plano, iremos descompactar

o arquivo referente ao LIDS e aplic-lo s
fontes (com verso coerente) do kernel a
ser compilado. Este processo ser
detalhadamente acompanhado mais
adiante.
Configuraes iniciais do LIDS

As primeiras configuraes do LIDS sero

realizadas no prprio aplicativo que
auxilia a configurao dos recursos e
mdulos do kernel (menuconfig). O patch,
quando instalado, criar neste aplicativo
as opes referentes ao LIDS.
 Configuraes bsicas

Para a instalao do LIDS, o kernel

precisar estar configurado com alguns
recursos bsicos. Clique aqui para
visualizar a listagem dos recursos que
devero estar integrados e opes do LIDS
a serem instaladas.
 Compilado o Kernel

Realizada as configuraes necessrias, o

prximo passo ser o de re-compilar o
kernel. As etapas necessrias para a
compilao esto disponveis no site do
curso.
 No reinicie o computador!

Terminada o processo de compilao,

deve-se, antes de reinicializar o sistema,
realizar algumas configuraes atravs
dos softwares integrados ao LIDS. Caso
contrrio, o acesso ao novo kernel estar
completamente bloqueado (por default do
LIDS).
 Ferramentas do LIDS

O pacote do LIDS acompanhado por

duas ferramentas de configurao:
lidsadm e lidsconf. O lidsadm ser usado
para administrar do LIDS. O lidsconf ser
usado para trabalhar com as
configuraes do LIDS sobre o sistema, ou
seja, o que ser bloqueado ou liberado.
 Acesso s ferramentas

As verses das ferramentas contidas no

patch do LIDS (lidstools) esto
desatualizadas. As ltimas verses esto
disponveis em http://www.lids.org/.
Estando com a verso desejada, o
primeiro passo executar os comandos
referentes instalao.
 Definio da senha LIDS

Terminado o processo de instalao do

pacote lidstools, o usurio precisar
definir a senha de controle do LIDS. Para
verificar se a instalao dos programas
foram realizadas corretamente, o usurio
pode recorrer a um comando especfico
(lidsadm v). Isto ser vlido para
confirmar a instalao.
 Trmino da instalao

O processo de instalao do patch LIDS ao

kernel, configurao bsica para o seu
funcionamento e instalao dos pacotes
de configurao (lidstools), de forma
superficial, chega ao fim. Adiante,
usaremos tutoriais especficos para
realizar as configuraes na prtica.
 Tutoriais a serem trabalhados

Instalao de IDS
Instalao do LIDS
Configurao do LIDS
Exemplo de configurao do LIDS
Obrigado!