Introducción a OpenBSD

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Introducción a OpenBSD"

Susana Montoya Nieto
hace 8 años
Vistas:

1 Introducción a OpenBSD Sistema operativo tipo UNIX Derivado de NetBSD y 4.4BSD en 1996 por Theo DeRaadt Se distingue de Linux por sus fuentes y su licencia Libre, Funcional, Seguro Base de desarrollo en Calgary Nueva versión cada 6 meses Acceso CVS al código fuente Actualmente en la versión 3.6 Colección de unos 2700 ports

Libre, Funcional, Seguro Base de desarrollo en Calgary Nueva versión cada 6 meses

2 Arquitecturas soportadas i386 (SMP) amd64 (SMP) vax mac68k macppc alpha sparc/sparc64 cats hp300 hppa luna88k mvme68k/mvme88k

3 Características de OpenBSD Gestión de bugs Seguro por defecto Auditado activo del código fuente Protección de página W^X / ProPolice / Systrace Separación de privilegios para los demonios Servicios de comunicación segura IPSec con ISAKMPd Soporte para NIDS (Snort) PF+AltQ Cortafuegos/Enrutamiento/Gestión ancho de banda con PF+AltQ

privilegios para los demonios Servicios de comunicación segura IPSec con ISAKMPd

4 Más características Criptografía integrada spamd integrado con PF listas grises de correo Emulación de binarios SVR4, FreeBSD, Linux,, BSD/OS, SunOS y HP-UX

5 Filosofía del Sistema Seguridad Estandarización Evolución antes que revolución (!) Limpieza de código Documentación

6 Aportaciones al Software Libre OpenSSH OpenNTPD OpenBGPD OpenCVS Reimplementación vasta mayoría utilidades GNU con licencia BSD

7 Gestión bugs Prevención de bugs Seguro por defecto Auditado de los fuentes Mitigación de bugs W^X ProPolice Systrace Separación Privilegios

8 Seguro por defecto Configuración por defecto estricta Cortafuegos rechaza el tráfico de todos los puertos excepto el 22 (ssh( ssh) Detiene tantos servicios como sea posible. Demonios configurados de forma segura,, con todas las funciones no vitales desactivadas. Sólo un agujero de seguridad en la instalación por defecto,, en más de ocho años

9 Auditado del Código Fuente Entre 6 y 12 desarrolladores encargados de ello Búsqueda de fallos en la programación Si se encuentra una nueva clase de bug, todo el código es reauditado. Reducción de binarios setuid y setgid

en la programación Si se encuentra una nueva clase de

10 Protección Pila ProPolice Extensión de GCC (Compilador( GNU C) Disponible para Linux, FreeBSD, OpenBSD y otros El software compilado con GCC+ProPolice tiene protección de pila integrada Hace más complicado explotar bugs de Desbordamiento de Buffer modificando la forma en la que los datos se almacenan en la pila Cómo funciona?

protección de pila integrada Hace más complicado explotar bugs de Desbordamiento

11 Qué es la pila?? (Básico( Básico) Sección de memoria Almacena datos

12 Desbordamiento de Buffer Sobrecarga las fronteras de un registro de datos. Verbigratia, carga más datos en una caja de los que fue diseñada para soportar. La falta de comprobación de las fronteras es fallo del código El Desbordamiento de Buffer escribirá código ejecutable en la memoria, entonces modificará el puntero de retorno hacia este código.

La falta de comprobación de las fronteras es fallo del código El Desbordamiento de

13 ProPolice (continúa( continúa) Inserta código protector en la aplicación en tiempo de compilación (Un canario) Detección de Desbordamiento de Buffer (Concepto( StackGuard) Reordenación de variables Reordena datos y variables de forma que sobreescribir un puntero se hace muy difícil cuando los datos se desbordan.

Reordenación de variables Reordena datos y variables de forma que sobreescribir un puntero

14 Protección de Página W^X Escribir o Ejecutar Se pueden escribir o ejecutar datos en una página dada, pero nunca ambas cosas simultaneamente. Previene a un atacante escribir código arbitrario en lugares de la memoria donde pudiera ser ejecutado. Soportado en plataformas Sparc, Sparc64, Alpha, HPPA, i386 y PowerPC Soporte nativo en Sparc, Sparc64, Alpha, x PowerPC y i386 necesitaron hacks espantosos

Previene a un atacante escribir código arbitrario en lugares de la memoria donde pudiera ser

15 Systrace Políticas de acceso para llamadas al sistema Policy: : /bin/ bin/ls, Emulation: native native-munmap munmap: permit [...] native-stat stat: permit native-fsread fsread: filename match "/usr usr/*" then permit native-fsread fsread: filename eq "/tmp tmp" then permit native-fsread fsread: filename eq "/etc etc" then deny[enotdir] native-fchdir fchdir: permit native-fstat fstat: permit native-fcntl fcntl: permit [...] native-close close: permit native-write write: permit native-exit exit: permit

"/tmp tmp" then permit native-fsread fsread: filename eq "/etc etc" then deny[enotdir] native-fchdir fchdir: permit

16 Separación Privilegios Concepto del privilegio menor. Separación de los demonios de red en dos niveles Un proceso ejecutado como root para todo lo que requiera ese privilegio. Subprocesos ejecutados como usuario sin privilegios. Esto minimiza los daños causados por atacantes remotos. Ejemplo: : sshd, syslogd, pppoe, dhclient, dhcpd

para todo lo que requiera ese privilegio.

17 Separación Privilegios (cont.) root :35? 00:00:00 sshd:duncajam [priv] duncajam :35? 00:00:00 sshd:duncajam@pts/4 duncajam :35? 00:00:00 tcsh sshd se desdobla a nivel de root para manejar la conexión entrante Este proceso se desdobla como un proceso sin privilegios para manejar el resto de la comunicación

00:00:00 sshd:duncajam@pts/4 duncajam 28744 28743 0 17:35?

18 Sistema de Detección de Intrusión Soporte total para Snort NIDS (Network Intrusion Detection System) Quizás para otra presentación : )

19 IPSec con ISAKMPd Seguridad IP AH Authentication Header ESP Encapsulated Security Protocol Compatible con otras implementaciones IPSec, como las disponibles para Linux y Windows

20 Cortafuegos Qué es un cortafuegos? Qué es un enrutador? Qué son las colas? Todas estas labores las ejecuta el subsistema PF+AltQ Se configura en /etc/pf.conf Se maneja con el comando pfctl (como root)

21 Características de PF Stateful filtering, modulate state Pass / Block / Drop Coincidencias en dirección, puertos entrada / salida,, y flags de paquetes Sintaxis sencilla,, con tablas, listas y opciones altamente configurables. Scrub Normalización de paquetes RDR / NAT / BINAT Registro de paquetes tcpdump Detección pasiva OS Anclas y subconjuntos de reglas Spamd

22 Ejemplo pf.conf int_if = "fxp0" ext_if = "ep0" set block-policy return set loginterface ep0 scrub in all block all pass quick on lo0 all block drop in quick on $ext_if from $priv_nets to any block drop out quick on $ext_if from any to $priv_nets pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp all modulate state flags S/SA pass out on $ext_if proto { udp, icmp } all keep state

23 Características Enrutado Enrutado básico Redirección de Tráfico NAT (Network Address Translation) Balanceo de carga source-hash, round-robin robin

24 Ejemplo Enrutado nat on $ext_if from $int_if:network to any -> > ($ext_if) rdr on $int_if proto tcp from any to any port 21 -> > port 8021 nat on $ext_if inet from any to any -> > { , } source-hash rdr on $ext_if proto tcp from any to any port 80 -> \ { , , }

25 Características de Colas Sistema de Control de Ancho de Banda Útil para manejar tráfico saliente Verbigracia, limitar el uso de algunos protocolos o darles prioridad sobre otros PRIQ, CBQ, HFSC Basado en AltQ Ofrece una funcionalidad semejante a la de algunos productos comerciales, como Packeteer.

26 Ejemplo de Colas altq on fxp0 priq bandwidth 610Kb queue \ { std_out, ssh_im_out, dns_out, tcp_ack_out } queue std_out priq(default) queue ssh_im_out priority 4 priq(red) queue dns_out priority 5 queue tcp_ack_out priority 6 pass out on fxp0 inet proto tcp from (fxp0) to any flags S/SA \ keep state queue(std_out, tcp_ack_out)

27 No encuentro HOWTOs! La mayor fuente de información para configurar OpenBSD suele estar instalada en el propio sistema Ejemplo: help man afterboot man vpn /usr/share,, /usr/ usr/local/ /local/share/examplesexamples

28 Sumario Pros Libre y Seguro Excelente documentación Preparado para la empresa Disponible para muchas plataformas Contras No optimizado para rendimiento Sacrificio soporte de hardware productivo (Scanners, tarjetas 3d, etc) Actualización de ports relativamente lenta (una vez por cada nueva versión)

29 Q&A

Documentos relacionados

FIREWALL EN ALTA DISPONIBILIDAD

FIREWALL EN ALTA DISPONIBILIDAD Norberto Altalef naltalef@redklee.com.ar RedKlee Argentina 1 Alcances Se describirá en este documento las ventajas y la configuración de una estructura de firewall en alta