1 / 55

Segurança no Armazenamento 6. Segurança em Storage

Segurança no Armazenamento 6. Segurança em Storage. Márcio Aurélio Ribeiro Moreira marcio.moreira@pitagoras.com.br http://si.lopesgazzani.com.br/docentes/marcio /. Objetivos do capítulo. Mostrar os principais problemas de segurança em ambientes de armazenamento: DAS, NAS, SAN e Backups

micol
Download Presentation

Segurança no Armazenamento 6. Segurança em Storage

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança no Armazenamento6. Segurança em Storage Márcio Aurélio Ribeiro Moreira marcio.moreira@pitagoras.com.br http://si.lopesgazzani.com.br/docentes/marcio/

  2. Objetivos do capítulo • Mostrar os principais problemas de segurança em ambientes de armazenamento: DAS, NAS, SAN e Backups • Apresentar as recomendações para resolver ou evitar os problemas apresentados

  3. Porque segurança em storage? • Boa parte dos ambientes de storage usam redes de fibra ótica separadas • Muitos administradores assumem que a rede de storage é segura. Será? • Os ambientes IP são mais atacados (sem dúvida) • Isto não que dizer que ambientes FC estejam livres • Estes ambientes têm a mesma premissa de segurança de outros ambientes: • As informações devem estar disponíveis somente para usuários que tenham direito de acessá-las

  4. Direcionador de segurança • Estamos lidando com: propriedade intelectual, informações proprietárias, segredos comerciais, etc. • Todos os aspectos de segurança de dados devem ser considerados: • Não usar premissas ou suposição não confirmadas • Especialmente em partes obscuras da segurança • Isto é fundamental para o sucesso da segurança em armazenamento

  5. Fatos • A maioria das empresas preocupam-se mais com servidores web do que com storage • Os storages podem estar conectados a várias redes (DMZ - inadequado, interna, aplicações, banco de dados e backups) • Os storages podem estar em segmentos IP: • Sem a segmentação adequada um servidor comprometido pode dar acesso à todas as redes, inclusive as de storage e backup

  6. O que acontece se: • O Web Server for comprometido? • E o DB Server?

  7. Porque nos preocupar? • O que ocorre se um espião pegar na rede de storage: • Uma senha de root ou de administrador • O código fonte de alguma aplicação • Informações indevidas e a empresa estiver sujeita a leis que a obrigam proteger tais informações • As redes de armazenamento estão crescendo • Os ataques e as vulnerabilidades estão migrando das redes IPs para as redes FC: • Alguns fabricantes ainda acham que as redes de storage estão imunes a ataques

  8. Análise preliminar

  9. Pacote de FC • É um frame (pacote) composto de: SOF Header Payload CRC EOF Corpo (área de dados) Cabeçalho Verificador CRC (Cyclic Redundancy Check) Terminador (End Of Frame) Iniciador (Start Of Frame)

  10. Arquitetura do protocolo FC • A camada FC-2 (FC nível 2) tem várias fraquezas: • Autenticação: Não tem autenticação na fábrica • Autorização: Parâmetros de autorização fracos • Cifragem: Não existe atualmente

  11. Resumo do frame da FC-2 • O frame da FC-2 é semelhante ao protocolo da camada MAC (Media Access Control): • Formato do frame • Gerenciamento de seqüência • Gerenciamento de intercâmbio • Controle de fluxo • Login e logout • Topologias • Segmentação e remontagem

  12. Detalhes do frame da FC-2 SOF Header Payload CRC EOF • A camada FC-2 (FC nível 2) tem várias fraquezas de segurança que já foram identificadas e resolvidas no IPv4 • O Payload (data field ou área de dados) pode conter de 0 a 2112 bytes a serem transmitidos

  13. Ataques de alta destruição ao FC • Classes de ataques: • HBA: Ataques às placas FC HBAs • Switches: Ataques aos elementos de rede • Frames: Ataques aos frames FC Legenda: Placas HBA Switches Pacotes

  14. Exemplos de ataques

  15. Ataque HBA: Spoofing (simulação) • Assim como o MAC o WWN pode ser trocado facilmente, inclusive com recursos dos fabricantes • Usando o WWN de uma HBA autorizada o espião pode ter acesso à dados não autorizados

  16. Ataque HBA: Spoofing • Um espião troca o WWN de sua placa HBA pelo WWN da HBA de um usuário válido • Assim, o espião pode ter acesso à outra zona e até a uma LUN do usuário válido

  17. Switch Zoning (troca da zona) • Este ataque permite que um nó da fábrica acesse outro nó usando as políticas de zoneamento • Por enquanto, os switches são as únicas entidades (em muitas redes) que concedem ou negam o direito de acesso aos nós: • Porém, o acesso é concedido ou negado baseado na autorização do WWN, sem envolvimento de nenhum outro mecanismo de segurança, tais como: autenticação, integridade ou criptografia

  18. Tipos de zoneamento • Hard (execução baseada em zoneamento): • 2 ou mais nós da mesma zona recebem as mesmas informações de zoneamento para se comunicarem • Neste caso, há restrição de tráfego entre os nós • Soft (Informação baseada em zoneamento): • 2 ou mais nós da mesma zona recebem informações de rotas uns dos outros • Este tipo de zoneamento não faz restrição de tráfego

  19. Bases de zoneamento F_Port WWN • Bases de zoneamento: • Por WWN: • Baseia-se somente no WWN de cada placa HBA • Por portas: • Baseia-se no número de cada porta física (F_Port) do switch FC para cada WWN de cada placa HBA • As zonas são mecanismos de segmentação: • Elas são usadas por ferramentas de segurança • Mas, não são mecanismos de segurança

  20. Soft Zone Hopping (pulando zonas) • Zoneamento soft por WWN: • Simulando um WWN o espião terá acesso às informações da WWN simulada • Sem simular um WWN, se o espião souber a rota para outro WWN numa zona diferente, que pode ser enumerada via fábrica, terá o acesso garantido • Zoneamento soft por número de portas: • A simulação de um WWN não terá sucesso, pois cada WWN é vinculado a uma porta específica • Sem simular um WWN, se o espião souber a rota para outro WWN o acesso também será garantido neste caso

  21. Hard Zone Hopping (pulando zonas) • Zoneamento hard por WWN: • Simulando um WWN o espião terá acesso às informações da WWN simulada • Sem simular um WWN, o espião não terá acesso a outro WWN mesmo que ele saiba a rota certa para isto • Zoneamento hard por número de portas: • Nenhum dos ataques, simulação (spoofing) ou roteamento, terão sucesso neste caso • Portanto, esta é nossa recomendação

  22. Ataque a uma zona soft por WWN

  23. Ataque a uma zona soft por WWN • Depois de comprometer o servidor de Web ou de FTP, um espião pode acessar dados corporativos: • Usando o switch FC, simulando seu WWN como WWN-C, WWN-D ou WWN-E • Comprometendo o firewall da rede IP e acessando diretamente a LAN Interna • A segurança do SO é a única proteção de sua rede de storage?

  24. Mascaramento de LUN • É o processo de esconder ou revelar partes do disco de storage (um LUN) para um nó • Ele cria um subconjunto do storage, um pool virtual, e permite o acesso a somente alguns servidores especificados • Basicamente apresenta um conjunto limitado de LUNs para um nó da rede de storage • Também é um mecanismo de segmentação, não de segurança • Pode ocorrer em diferentes lugares: • No client, no switch FC, no nó, numa aplicação ou em dispositivos de terceiros

  25. Ataque ao mascaramento de LUN • Se o mascaramento ocorre no client, usando um driver HBA, então o espião pode: • Abrir propriedades do mascaramento do nó, que não tem parâmetros de autenticação • Trocar as configurações para remover qualquer um ou todos os mascaramentos • Isto também permite ao nó cliente ver todos os LUNs identificados, tendo ou não autorização para isto

  26. Troca de informações de LUN • O driver HBA troca informações de LUN:

  27. Ataques de mascaramento de LUN • No switch FC: • Se o mascaramento ocorrer no switch FC, então um WWN simulado pode comprometer as propriedades do mascaramento • Na controladora do storage: • A controladora pode ser usada para expor alguns LUNs para alguns WWNs • Logo, comprometendo um WWN toda a segurança estará comprometida!

  28. Session Hijacking (seqüestro de sessão) • Fraquezas do identificador de seqüência: • Seq_ID (identificador) e Seq_Cnt (contador) • Todo frame deve ser parte de uma seqüência • Frames de uma mesma seqüência têm o mesmo Seq_ID • Cada frame na seqüência é controlado pelo Seq_Cnt • Ex: Seq_ID = 1, Seq_Cnt = 1, 2, 3, ....

  29. Vulnerabilidade explorada • No FC os pacotes são seqüenciados na transmissão de uma porta para outra: • O receptor tem que verificar todos os frames para montar a seqüência esperada • Mas, ninguém falou quantos frames existem • Um espião pode seqüestrar uma seqüência estabelecida entre 2 nós confiáveis: • Se a seqüência tiver por exemplo 132 frames • Basta continuar criando frames: 133, 134, etc.

  30. Ataque do Session Hijacking • Se o espião não estiver preocupado com consistência, o ataque é mais simples: • Capture a identificação da seqüência (Seq_ID) • Produza o frame seguinte fazendo: • Seq_Cnt = Seq_Cnt + 1 • Como não há controle de integridade dos frames, a sessão já estará seqüestrada

  31. Endereçamento FC • Endereços de 24 bits (source e destination): • 8 bits: Domínio (switch ID) • 8 bits: Área (grupo de F_Ports) • 8 bits: Porta (N_Port)

  32. Roteamento FC • Roteamento: • Um nó (N_Port) é dinamicamente atribuído a um endereço de 24 bits, usualmente pelo switch seguindo a topologia (fábrica), este endereço é usado para fazer o roteamento • No switch a Name Servers Table (tabela de servidores) mantém o endereço da Porta (24 bits) e do WWN (64 bits) • O que isto nos lembra? • Roteamento IPv4

  33. Ataque man-in-the-middle • Explora fraquezas da fábrica para entrar nela: • O espião envia um login para a Fábrica (FLOGI) para o endereço 0xFFFFFE (semelhante ao broadcast) usando o endereço 0x000000 (pois ele não sabe seu N_Port) • A fábrica e o switch associado recebe o frame e envia um frame de aceitação (ACC) para o espião • O frame ACC tem dentro dele o N_Port certo do espião • Agora o espião tem o N_Port dele e da fábrica • Como não há validação nem autenticação, ele envia um port login (PLOGI) para 0xFFFFFC (endereço que permite a um servidor atualizar a tabela de WWN no switch)

  34. Contaminando a tabela de servidores • A fábrica assume que os frames da conexão devem ser enviados ao WWN do espião: • Assim, todos os frames destinados ao nó destino passam primeiro pelo nó do espião • Pronto, o espião virou o homem do meio!

  35. Replicação E_Port • As E_Ports (Expansion Ports) dos switches FC fornecem “uplink” para outros switches: • Quando os switches descobrem a conexão com outro pela E_Port, eles compartilham: informação da fábrica, gerenciamento e tabelas (nomes de servidores e de zoneamento) • Normalmente, a replicação via E_Port requer autenticação • Por padrão, todas as portas dos switches FC podem ser F_Ports ou E_Ports

  36. Vulnerabilidade no controle de fluxo • Um dispositivo pode transmitir frames para outro somente quando o receptor está pronto: • Antes de enviar dados uns para os outros, os dispositivos precisam fazer login e estabelecer créditos entre si • Créditos: • Número de frames que um dispositivo pode receber por vez • Este valor é compartilhado durante o login • Interrupção do controle de fluxo: • No compartilhamento não há autenticação nem integridade • Um espião pode trocar informações de serviço entre 2 nós autorizados e interromper o serviço

  37. Atalhos de roteamento (cut-through) • Alguns switches olham apenas o D_ID (Destination ID ou endereço de destino) para rotear o frame • Isto aumenta a performance reduzindo o tempo necessário para decidir rotas • Entretanto, o frame é encaminhado sem verificação de S_ID (Source ID ou endereço de origem) • Os endereços D_ID e S_ID são de 24 bits

  38. Web Management • O protocolo http passa dados em texto plano • Isto é péssimo para a segurança • Além disto, as senhas padrões dos switches FC são todas conhecidas: • password, admin, manage, prom, filer, netcache, monitor, temp, root, backup, KuSuM, momanddad, <switch vendor>, <company name>, letmein, secureme, abcd1234, money, Config, test, secret, keepout, test123 e green • Logo, evite o gerenciamento remoto via web

  39. Arquitetura alvo • Robusta?

  40. Ataque Web Management fase 1 • Comprometa o Servidor Web • Ganhe acesso ao Servidor BD • Comprometa o Firewall Interno • Uma vez na Rede Interna, ataque a interface IP do Switch FC • Comprometa o Switch FC

  41. Ataque Web Management fase 2 • Usando a fase 1 comprometa o Switch FC • Instale “aplicações” usando o caminho comprometido ou: • Use a manutenção da rede interna como entrada • Seja um: • “Fornecedor” • “Consultor” • “Parceiro de Negócios” • Etc.

  42. Web Management considerações • Se o acesso direto aos dados não é possível: • Levante a topologia por enumeração • Faça um spoofing usando WWN • Acesse o switch via linha de comando • Complete as informações da zona

  43. Exemplos de enumeração

  44. Ataque Share Infrastructure • Inicialmente: • Servidor do espião conectado na F_Port do Switch FC central • Ataque: • O espião troca o servidor por um Switch FC com E_Port • O Switch central troca o modo da porta para E_Port e replica todos os dados para o novo switch • Compromete-se o que estiver conectado ao switch central

  45. Conclusão • Soluções de segurança: • Existem muitas vulnerabilidades! • Mas, existem muitas soluções de segurança que podem ajudar a instalar e manter um ambiente de storage seguro!

  46. Switches FC: ações de curto-prazo • Zoneamento hard nas portas físicas: • Adiciona um nível razoável de segurança • Evita o ataque de Spoofing (simulação) • Port Binding (vinculação de portas): • Bloqueia a porta física somente para um WWN • Evita o ataque de Spoofing (simulação) • Controle de tipos de porta: • Trava uma porta para um determinado tipo de porta: F_Port ou E_Port • Evita o ataque de replicação de E_Port

  47. Switches FC: ações de longo-prazo • SLAP (Switch Layer Authentication Protocol): • Habilita autenticação digital entre switches • Evita o ataque de Web Management • Fabric Membership Authorization: • Incorpora em cada switch uma lista de WWNs autorizados a associar-se à fábrica • Evita o ataque de replicação de E_Port • Fabric Configuration Servers: • Um switch é eleito único administrador de switches • Ele usa sua própria autenticação ao invés de SNMP ou credenciais (usuário e senha): evita o Web Management

  48. Precauções • Mascaramento de LUNs: • Não confie na máscara de LUN como sua única fonte de segurança • Não use mascaramento de LUN no cliente • Pontos de entrada seguros: • Use somente: • Sistemas operacionais seguros conectados ao storage • Interfaces IP seguras nos dispositivos da rede de storage • Gerenciamento seguro de estações, servidores e demais elementos de rede conectados à rede de storage • Máquinas na DMZ não acessam a rede de storage (nem indiretamente)

  49. Melhorias • Já disponível: • Dispositivos de FC Criptografados • Autenticação: • Baseada em certificados digitais para as fábricas: • Use de switch para switch e da HBA para o switch • A caminho: • Criptografia de dados em trânsito e no storage: • Facilitará a integridade e confidencialidade: • FC-GS-4 • FCSec (Fiber Channel Security)

  50. Recomendações gerais 1 • Para redes estáticas, use portas por zonas ao invés de WWNs por zona • Use zoneamento hard ao invés de soft • Troque as senhas padrões dos switches • Não use máscara de LUN nos nós clientes • Gerencie os switches somente de redes seguras (rede de storage), nunca pela rede interna (rede IP) ou externa (remota) • Use autenticação por chaves para fazer o acesso de switch para switch

More Related