Você está na página 1de 14

doi: 10.5102/un.gti.v2i2.

1458

Camuflagem de servios na internet*


Internet services camouflage

Resumo

Jos Carlos Fernandes de Macedo1


Marco Antnio de Oliveira Arajo2

Vrias empresas utilizam a Internet para disponibilizar servios de carter crtico. Esses servios, se comprometidos, podem permitir a realizao
de atividades maliciosas e desastrosas para a infraestrutura de Tecnologia da
Informao. Este trabalho apresenta a tcnica de camuflagem, que protege o
permetro da rede, pois evita a deteco de servios por pessoas no autorizadas. A fim de se demonstrar a eficincia da camuflagem, um laboratrio foi
realizado para testar o aplicativo Fwknop, o qual implementa a tcnica denominada Single Packet Authorization (SPA). Os resultados obtidos deixam
claro que o SPA foi muito bem concebido e bastante eficiente.
Palavras-chave: Camuflagem. Firewall. Internet. Segurana.

Abstract

* Artigo recebido em 06/08/2012


Aprovado em 27/09/2012
1
Formado em Matemtica pelo Centro de Ensino Unificado de Braslia - CEUB. Ps-graduado
em Anlise de Sistemas pela GFI Consultoria e
Treinamento e em Redes de Computadores
pelo Centro Universitrio de Braslia - Uniceub.
Certificado como Microsoft Certified Systems
Engineer pela Microsoft Corporation e como
Computer Forensics Certified pela Axur Information Security. Trabalhou trs anos no Departamento de Educao Fsica, Esportes e Recreao DEFER na funo de Chefe do Setor de
Tecnologia da Informao, onde foi responsvel
pela montagem da infraestrutura de TI e pelo
desenvolvimento dos sistemas utilizados pelo
rgo. Trabalha h dezessete anos na rea de
TI do Tribunal de Justia do DF TJDFT, ocupando h onze anos a funo de chefe do setor
de Redes e Segurana da Informao.
2
Possui graduao em Cincia da Computao
pela Universidade de Braslia (1997) e mestrado
em Cincia da Computao pela Universidade
de Braslia (2003). Foi supervisor, por 4 anos,
da Seo de Segurana da Informao do Tribunal Superior do Trabalho. Hoje faz parte da
equipe de Qualidade e Segurana do Sistema
PJe da Justia Trabalhista. professor titular
de redes e segurana do Centro Universitrio
de Braslia e da Universidade Catlica de Braslia para a graduao e para a ps-graduao,
atuando principalmente nos seguintes temas:
deteco, segurana e redes.

Several companies use the Internet to deliver services of a critical nature. These services, if compromised, could allow for malicious and disastrous activities for the Information Technology infrastructure. This paper
presents the camouflage technique that protects the network perimeter, as it
avoids services detection by unauthorized persons. In order to demonstrate
the camouflage effectiveness, a laboratory was designed to test the application
Fwknop, which implements a technique called Single Packet Authorization SPA. The results clearly show that the SPA was very well designed and is very
efficient.
Keywords: Camouflage. Firewall. Internet. Security.

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

1 Introduo

2 Ataque a computadores servidores

A camuflagem uma tcnica que pode ser utilizada para proteger os recursos de Tecnologia da Informao disponibilizados na Internet. Essa tcnica de defesa
consiste em ocultar os computadores servidores e seus
servios, permitindo que apenas seus usurios legtimos
tenham o conhecimento de sua existncia (DEGRAAF,
2007, p. 42-45).

Nesta seo, sero abordadas algumas tcnicas


populares de ataques usadas para atingir os recursos de
Tecnologia da Informao, tendo em vista que este trabalho procura apresentar uma soluo que ajuda a evit-los.

Este artigo foi desenvolvido com a inteno de


apresentar a tcnica de camuflagem para auxiliar na defesa dos servios crticos acessveis pela Internet e permitir
o fornecimento de um nvel adequado de proteo aos
recursos de Tecnologia da Informao (TI).
Apesar da ampla utilizao de outras solues
eficientes, tais como firewall, Intrusion Detection/
Prevention System e Virtual Private Network, Degraaf
(2007, p. 42-45) esclarece que, alm de encobrir a existncia do recurso de TI, a tcnica de camuflagem oferece uma camada extra de proteo contra ataques, protege sistemas com vulnerabilidades que no possuem
as respectivas correes aplicadas e adiciona autenticao a sistemas que possuem medidas de segurana
inadequadas.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

Neste documento, so indicadas algumas medidas


a serem adotadas a fim de se evitar que os ativos de TI
crticos e as redes corporativas fiquem expostos a anlises
de suas vulnerabilidades e a ataques que podem passar
despercebidos pelas outras solues de proteo do permetro da rede.

30

A primeira seo deste artigo aborda as tcnicas


populares de ataque na Internet, enquanto a segunda
seo apresenta algumas contramedidas geralmente utilizadas para evitar esses ataques. O funcionamento de
algumas tcnicas de camuflagem foi explicado na terceira seo, sendo que a tcnica denominada Single Packet
Authorization (SPA) foi abordada com detalhes. Para
demonstrar a eficincia da camuflagem, a quarta seo
descreve a realizao de um laboratrio de implementao de uma ferramenta de SPA (Fwknop). O aplicativo
Fwknop foi posto em ao e alguns ataques foram executados ao mesmo tempo em que ocorriam os acessos
legtimos, autorizados. Por ltimo, so feitas as consideraes finais e discutidos os pontos positivos e negativos
da soluo testada.

Para Mcclure, Scambray e Kurtz (2005, p. 4-40),


o primeiro passo para a realizao de um ataque a verificao da postura da empresa em relao segurana
da informao. So levantadas informaes sobre nome
de domnio, blocos de rede, endereos de servidores, mecanismos de controle de acesso e suas listas de filtragem,
sistemas de deteco de intruso, nomes e grupos de usurios, tabelas de roteamento (ataque de varredura) etc.
Essa fase importante para a escolha do alvo.
Depois de o alvo ser selecionado, Northcutt et al.
(2002, p. 536) explicam que o agressor passa a verificar
os servios e as respectivas verses instaladas no servidor que ser atacado (ataque de enumerao). Com posse
dessas informaes, um agressor pode pesquisar as vulnerabilidades conhecidas nos softwares que disponibilizam os servios, a fim de elencar os elementos necessrios para a realizao do ataque.
Todavia, as falhas no esto presentes somente nos
programas e nos aplicativos. Existem falhas nas pilhas de
protocolos e nas estruturas de rede que compem a Internet. Essas falhas, de acordo com Cheswick, Bellovin e
Rubin (2005, p. 117-118), muitas vezes so exploradas na
forma de tentativas de inanio de recursos, para que o
servio ou o servidor fique fora do ar (ataque de Deny
of Service DDoS).
Comer (2007, p. 143-144) comenta que h outras
formas de se aproveitar da rede e realizar ataques. Ele
menciona a captura de pacotes que trafegam sem criptografia, que pode levar ao roubo das credenciais de usurios de um sistema. As credenciais so cobiadas uma
vez que, com elas, podem-se controlar os recursos de
uma rede.
O roubo de credenciais tambm pode ser efetuado com o ataque de fora-bruta, que consiste em vrias
tentativas de autenticao com senhas diferentes (ERICKSON, 2008, p. 422). Ives (apud LEMOS 2008, p. 54,
traduo nossa) declara que:
Dado tempo suficiente, qualquer senha pode
ser quebrada e muitas delas o so com relativa
facilidade, porque, at certo ponto, os seres hu-

Camuflagem de servios na internet

Existem muitos riscos de comprometimento dos


servios de TI, e a Internet uma rede perigosa no ano
de 2011 foram reportados ao CERT.br mais de trezentos e
noventa e nove mil incidentes de segurana na Internet.3
Qualquer organizao que disponibilize recursos nessa
rede deve prover sua infraestrutura de TI solues de
segurana que atendam s polticas para os negcios e
forneam um bom nvel de proteo.

3 Tcnicas de defesa
Esta seo apresenta as tcnicas de defesa que geralmente so utilizadas para proteger os recursos de TI
dos ataques que foram descritos na seo anterior.
Northcutt et al. (2002, p. 5) define firewall como
sendo o equipamento instalado entre as redes externa e
interna de uma organizao que tem como funo filtrar
o trfego e liberar apenas o que for permitido na poltica
de segurana.
Na opinio de Cheswick, Bellovin e Rubin (2005,
p. 177), o firewall [...] qualquer dispositivo, software, arranjo ou equipamento que limita o acesso rede.
Complementam, dizendo que a filtragem pode ocorrer
em diversos nveis e at operar na camada onde as aplicaes atuam. Essa filtragem consegue evitar ataques de
varredura, enumerao, DOS e fora bruta nos servidores
e servios da organizao cujos acessos so negados. Porm, h os servios disponveis para acesso pela Internet
e, para esses, o firewall no consegue oferecer proteo,
sendo necessrio o uso de ferramentas capazes de detectar tentativas de intruso.
Um sistema de deteco de intruso Intrusion Detection System (IDS) um sistema que monitora os pacotes que trafegam pela rede procura de algum comportamento que indique uma violao de segurana (COMER,
2007, p. 556). Northcutt et al. (2002, p.157) fazem um alerta sobre a necessidade da utilizao desse sistema como
ferramenta de segurana: [...] sem deteco de intruso,
voc pode no perceber muitos ataques que ocorrem.

Disponvel em: <http://www.cert.br/stats/incidentes/>. Acesso em: 27 maio. 2012.

Fuchsberger (2005, p. 136-137) ensina que o sistema de deteco de intruso pode gerar alertas e at tomar
medidas para interromper ataques de varredura, enumerao, DoS e fora bruta. Contudo, h a possibilidade de
que alguns ataques ainda no estejam catalogados ou gerem um comportamento aparentemente normal, fazendo
com que eles no sejam percebidos.
O contedo do trfego tambm necessita de cuidados e a soluo mais adequada para proteger a comunicao entre um cliente e um servidor, evitando a anlise de pacotes capturados na rede, a criptografia dos
pacotes.
Tanenbaum (2003, p. 784) comenta que, para a
Tecnologia da Informao, a criptografia a cifragem dos
dados e utiliza chaves para codificar a mensagem, sendo
que apenas o detentor da chave consegue enxergar o dado
original.
A criptografia aplicada ao trfego, quando conta
com tcnicas de ocultao, d origem a Redes Virtuais
Privativas (Virtual Private Network-VPN). A VPN, informam Northcutt et al. (2002, p. 181), [...] uma conexo
que estabelecida por uma infraestrutura pblica ou
compartilhada existente, usando tecnologia de criptografia ou autenticao para proteger o seu payload.
A utilizao das tcnicas e solues de segurana aludidas neste captulo de grande importncia para
uma rede presente na Internet. No entanto, como tais
ferramentas possuem limitaes, medidas adicionais, tal
como a camuflagem, so recomendveis para melhorar a
segurana oferecida aos servios crticos (ex.: shell remoto de computadores servidores, utilizado para administrao de servios).

4 Camuflagem
Esta seo apresenta a tcnica de defesa denominada camuflagem, que consiste em ocultar a presena de
servios na rede e tem como objetivo complementar a segurana oferecida pelas tcnicas de defesa informadas na
seo anterior.
A camuflagem pode ser utilizada na Internet, para
que alguns servios crticos possam ser acessados de
qualquer lugar sem que pessoas no autorizadas tenham
o conhecimento da existncia do recurso.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

manos so preguiosos e quase sempre optam


por senhas no aleatrias e fceis de lembrar
e, portanto, fceis de adivinhar.

31

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

Quando h necessidade de um recurso estar disponvel na Internet e no se sabe o endereo de onde partir o pedido de acesso, as regras do firewall no podem
filtrar a origem da conexo e, por isso, acabam permitindo a realizao de varreduras no computador servidor
por qualquer pessoa (CHESWICK; BELLOVIN; RUBIN,
2005, p. 131).

Krzywinski (2003, p. 12-17) explica a tcnica, informando que, quando um computador deseja acessar um
servio crtico, uma sequncia de pacotes com caractersticas especficas enviada para o firewall. Esses pacotes so
interceptados e analisados e, caso a sequncia esteja correta,
a regra de filtragem permitindo o acesso ao recuso desejado
criada.

A estratgia aqui proposta a criao automtica de


regras de filtragem mediante algum tipo de autenticao.
Trata-se de regras temporrias configuradas para um acesso especfico (origem, destino e servio a ser acessado). Em
virtude de essas regras serem apagadas logo aps a conexo ser estabelecida e informarem o endereo de origem
da conexo, a presena do servio dificilmente notada.

recomendvel que a sequncia de pacotes enviada


ao firewall seja criptografada, evitando, assim, o monitoramento e a anlise do contedo dos pacotes.

Alguns firewalls proprietrios do mercado permitem a filtragem de acesso mediante autenticao (ex.:
Check Point Transparent Session Authentication4 e Cisco
ASA Cut-Through Proxy Feature5). O problema que,
para realizar essa tarefa, soquetes6 de servios so disponibilizados para os usurios da rede. Caso tais servios
sejam comprometidos, o invasor poder configurar as
regras de filtragem no firewall de forma a disponibilizar
para si todos os recursos da rede protegida pelo equipamento.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

4.1 Port knocking


Uma forma mais segura de criao automtica de
regras de filtragem em firewalls o Port Knocking. Esse
mtodo no disponibiliza soquetes e, consequentemente,
no possui portas que expem o servio a ataques ao receberem requisies de conexes.
Jeanquier (2006, p. 4-5) conta que a ideia do mtodo surgiu no ano de 2001, em uma lista de discusses do
site German Linux User Group (www.guug.de), e que se
concretizou em 2003, quando Martin Krzywinski7 lanou
um artigo que dava a ele o nome Port Knocking.

32

Disponvel em: <http://www.dm-int.com/Authentication.


htm>. Acesso em: 05 maio 2011.
Disponvel em: <http: //www.ci sco.com/en/ US/products /
hw/vpndevc/ps2030/ products_configuration_ example09186a00807349e7.shtml>. Acesso em: 05 maio 2011.
Segundo Comer (2007, p. 398), soquete [...] a interface entre um programa aplicativo e os protocolos de comunicao
em um sistema operacional.
Disponvel em: <www.portknocking.org>. Acesso em: 05
maio 2011.

Para que a segurana oferecida pela tcnica de camuflagem seja eficaz, a regra criada automaticamente deve ser
apagada pelo prprio firewall aps um tempo determinado
ou por uma sequncia de pacotes enviada pelo cliente.
Temos a seguir um exemplo do que acontece em algumas implementaes de Port Knocking (KRZYWINSKI,
2003, p. 12-17):
Fase 1 - O cliente no consegue se conectar a uma aplicao
que escuta em determinada porta;
Fase 2 - O cliente envia pedidos criptografados de conexes,
utilizando uma sequncia pr-definida de portas;
Fase 3 - O firewall intercepta os pedidos de conexo, decifra-os e os interpreta;
Fase 4 - O firewall executa a tarefa solicitada na sequncia de
portas enviada (a regra criada no firewall);
Fase 5 - O cliente consegue finalmente se conectar ao recurso desejado.
Fase 6 A regra de acesso criada pela soluo de Port Knocking apagada automaticamente aps algum tempo.
Embora o Port Knocking seja uma tcnica de camuflagem promissora, Rash (2006, p. 64-65) chama a ateno
para alguns problemas, tais como: demora em estabelecer
uma conexo devido sequncia extensa de pacotes; dificuldade de autenticao em virtude dos pacotes chegarem fora
de ordem ao firewall; vulnerabilidade a ataques de repetio,
j que a sequncia para a criao de regras sempre a mesma.
Algumas variaes8 do Port Knocking surgiram na
tentativa de corrigir as falhas. Veremos na prxima subseo
uma dessas variaes.

Disponvel em: <www.portknocking.org/view/implementations>. Acesso em: 10 maio 2011.

Camuflagem de servios na internet

4.1.1 Single Packet Authorization SPA


O Single Packet Authorization - SPA uma variao da tcnica de Port Knocking.
Isabel (2005) explica que, para evitar alguns dos
problemas da tcnica original de Port Knocking, o SPA
se baseou no sistema Cryptographic One-Time Knocks COK, o qual trabalha com apenas um nico pacote criptografado que possui as credenciais e os demais elementos
necessrios para a criao automtica das regras de filtragem no firewall.

Jeanquier (2006, p. 48) esclarece que os dados necessrios criao das regras so informados como campos da mensagem, sendo eles: dado randmico (caracteres
gerados aleatoriamente), usurio do computador cliente,
hora do computador cliente, verso do aplicativo que implementa o SPA, modo, acesso desejado ou linha de comando e o digest (cdigo gerado pelo algoritmo de hash).
Rash (2006, p. 6668) explica que o SPA trabalha
em conjunto com o firewall, criando automaticamente
regras de filtragem de acesso. Para que as regras sejam
criadas, o cliente da soluo deve enviar ao firewall uma
solicitao assinada digitalmente (vide Figura 1).

Figura 1. Fluxo dos pacotes com a utilizao do SPA

Fonte: Disponvel em: <www.cipherdyne.org/fwknop/>. Acesso em: 07 maio 2012.

Uma medida adotada pela soluo a fim de se evitarem falhas de buffer overflow, a limitao do tamanho
do pacote com o qual ela trabalha. Dessa forma, uma sobrecarga causada por um pacote muito grande pode ser
evitada.
Rash (2006, p. 66-68) conta que a ferramenta trabalha com chaves criptogrficas assimtricas, que so utilizadas para assinar e criptografar a mensagem referente
criao de regras no firewall. Quando as credenciais so
reconhecidas, uma regra criada no firewall, contendo o
IP de origem, o IP de destino e a porta a ser acessada. A

regra, aps o tempo determinado nas configuraes da


soluo, apagada e novas conexes so bloqueadas. As
conexes j estabelecidas so mantidas, desde que existam regras criadas no firewall para esse fim.
Existem elementos randmicos dentro de cada pacote criptografado, fazendo com que as mensagens sejam
nicas, e so gerados digests desses pacotes, que so armazenados pelo servidor. O objetivo dessas medidas bloquear pacotes j recebidos, evitando os ataques de repetio.
Jeanquier (2006, p. 50-51) declara que o SPA possui venerabilidades a alguns ataques, estando entre eles:
a) man-in-the-middle o pacote enviado para
o firewall pode ser interceptado e retido. Como
o pacote no chega a seu destino, ele pode ser
utilizado por quem o interceptou, uma vez que
o digest dele no constar na relao de pacotes
recebidos. Entretanto os pacotes possuem um
selo de tempo para evitar esse tipo de ataque.
Para haver sucesso, o agressor precisaria saber
a hora exata do computador cliente que enviou
o pacote para o firewall caso o computador
cliente faa requisies de NTP para sincronizar seu relgio, essas requisies podem ser

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

A fim de se evitar que o servio disponibilizado pela


soluo de SPA fique exposto a ataques, nenhuma porta de
servio levantada. Em vez disso, o servio rastreia os pacotes que trafegam por uma determinada interface, procurando informaes especficas. Esse cuidado no impede
que, no caso de uma varredura de rede, as particularidades
das requisies enviadas ao firewall sejam notadas, mas,
como os pacotes so criptografados, um agressor no consegue entender o contedo da mensagem.

33

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

capturadas e utilizadas para determinar a hora


do sistema operacional.
b) piggyback um agressor que conhece a rotina de acesso a um servio pode se aproveitar
de um momento de criao da regra de filtragem e, se passando pelo equipamento que solicitou a conexo (IP Spoofing), conseguir acessar
o servio. Contudo, o agressor precisaria adivinhar a porta a ser liberada (as portas liberadas
so aleatrias e mudam a cada requisio).
c) replay attacks se houver firewalls realizando balanceamento de carga, a lista de digests de
um ser diferente da lista do outro. Isso pode
permitir que pacotes capturados possam ser
reutilizados, tendo em vista que a relao de pacotes da soluo de SPA em cada firewall estar
incompleta.

Mesmo havendo a possibilidade de que a tcnica


de SPA seja burlada, algumas medidas simples, como por
exemplo, a no utilizao do protocolo NTP e a replicao da tabela de digests entre firewalls redundantes, poderiam evitar os ataques mencionados.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

O SPA possui um bom nvel de segurana e, baseando-se nisso, Rash (2006, p. 68,
traduo nossa) conclui:
O Single Packet Authorization tem diversas
caractersticas que o
tornam mais poderoso
e flexvel para proteger
os servios de rede do
que o port knocking. Sua
capacidade de transmisso de dados, juntamente com a sua estratgia
para a preveno de
ataques de repetio, fazem dele um candidato
ideal para expandir a
configurao dos filtros
de pacotes para descartar, por padro, todas
as conexes com alguns
servios essenciais.

H alguns aplicativos que usam a tcnica de SPA,


tais como o Fwknop9, o Aldaba10 e o Knockknock.11 Durante o laboratrio, o aplicativo utilizado ser o Fwknop
(FireWall KNock OPerator).

10

11

34

Disponvel em: < http://cipherdyne.org/fwknop>. Acesso em:


17 abr. 2011.
Disponvel em: <http://www.aldabaknocking.com/download
>. Acesso em: 17 abr. 2011.
Disponvel em: < http://www.thoughtcrime.org/software/kno
ckknock>. Acesso em: 17 abr. 2011.

4.1.2 Implementando a camuflagem para o acesso a


servio de SSH
A camuflagem do servio de SSH presente em um
servidor hospedado em Data Center se baseia em firewall
com uma soluo de Single Packet Authorization-SPA
instalada. O SPA cria automaticamente regras no firewall,
permitindo o acesso ao servio SSH apenas no momento
em que o administrador estiver estabelecendo uma conexo. A regra criada apagada, tambm automaticamente,
aps um tempo determinado. Como consequncia, caso
haja uma varredura de servios no servidor, o SSH no
ser detectado, pois todas as regras permitindo o incio
de conexes a esse servio tero sido apagadas (essa situao est representada na Figura 1). Deve haver uma regra liberando os acessos das conexes informadas como
estabelecidas na tabela de estados das conexes. Tal regra
imprescindvel para que o administrador consiga manter a comunicao com o servio SSH aps a regra criada
pelo SPA ter sido apagada.
Figura 2 - Proposta de Implementao

Fonte: Do autor

A autenticao no servio de SSH deve ocorrer em


poucos segundos, para que a regra criada no firewall possa ser apagada o mais rapidamente possvel. Uma forma
de agilizar a autenticao no servio de SSH a utilizao
de certificados digitais, j que os certificados digitais possuem as credencias do usurio e, sendo assim, dispensam
a necessidade de digitao de senhas.
O endereo IP da rede interna do servio de SSH
no divulgado, sendo utilizada a converso do endereo
interno para o endereo da rede pblica mediante a tcnica de Network Address Translation NAT.

Camuflagem de servios na internet

Os certificados digitais que so utilizados pelo servio SSH e pela soluo de SPA so gerados tanto para a
estao de trabalho do administrador quanto para o firewall. Um programa de gerncia de certificados digitais
deve ser instalado em ambos os computadores.
Um ltimo detalhe importante a criao de
scripts que automatizem todos os procedimentos de acesso aos servios. Com a utilizao dos scripts, os acessos
sero rpidos e a vida do usurio (administrador do servidor) ser facilitada com o uso de scripts, no h a necessidade da digitao de comandos complexos.
4.2 Proposta de um laboratrio de implementao
de spa para ssh
A utilizao de mquinas virtuais torna a montagem do ambiente dos testes bastante prtica. Dependendo da capacidade de processamento do computador host
das mquinas virtuais, vrias podem ser criadas em uma
nica mquina fsica.
O modelo empregado no laboratrio proposto simula uma empresa que possui um servidor Web instalado em data center. O servidor Web administrado remotamente por meio do servio de SSH.

rewall), cliente da soluo de SPA (cliente/agressor), servio de SSH (servidor), cliente de SSH (cliente/agressor),
programa de gerao de certificados digitais (firewall e
cliente/agressor), servidor Web (servidor), navegador
Web (cliente/agressor), firewall (firewall), programa de
varredura de portas (cliente/agressor), programa de levantamento de vulnerabilidades (cliente/agressor) e programas que permitam o monitoramento da rede e das
regras criadas pelo firewall.
A poltica padro de filtragem a ser seguida no
firewall a de bloqueio geral para todos os pacotes que
vm da rede externa. O acesso ao servio Web liberado
para todos os computadores da rede externa e as regras
de acesso ao servio de SSH so criadas dinamicamente
pela soluo de SPA.
Alm das regras de filtragem, o firewall possui regra de Network Address Translation-NAT para o servio
Web. A regra de NAT para o servio de SSH criada dinamicamente pela soluo de SPA.
A soluo de SPA deve ser configurada no firewall.
Devem ser criados: os certificados digitais no firewall e no computador cliente/agressor, o script de acesso ao servio de SSH no computador cliente/agressor e
uma pgina Web de teste no computador servidor.

Uma rede virtual entre o firewall e o servidor e


outra entre o firewall e a mquina cliente/agressora so
criadas no ambiente de virtualizao.

Os procedimentos de teste devem compreender:


acesso ao servio Web, a fim de se verificar a sua disponibilidade; varredura de portas no computador servidor, para
que se possam relacionar as portas disponveis para conexes; acesso do computador cliente/agressor soluo de
SPA, que far com que as regras de filtragem sejam criadas
dinamicamente; monitoramento do trfego de rede, para
verificar a existncia de criptografia no trfego; conexo
com servio de SSH, objetivando constatar a disponibilidade do servio, cujas regras permitindo o acesso ao recurso so controladas pelo aplicativo que implementa o SPA;
verificao da criao dinmica de regras de filtragem, que
permitir a constatao do funcionamento da soluo; levantamento de vulnerabilidades no servidor, a fim de que
possa ser analisado o nvel de segurana proporcionado
pela utilizao da tcnica de camuflagem; leitura dos arquivos dos logs do sistema operacional e do SPA, para que
se possam ver as aes tomadas pela soluo.

So instalados nas mquinas virtuais os seguintes


aplicativos e ferramentas: servidor da soluo de SPA (fi-

As aes propostas neste subcaptulo foram postas


em prtica no laboratrio ao qual se refere o captulo 5.

Para avaliar o bloqueio da tentativa de acesso no


autorizado ao servidor, enquanto ocorrem conexes legtimas, so necessrios computadores que cumpram quatro papis diferentes, sendo eles: o firewall, onde estar
instalada a soluo de SPA; o servidor, que receber os pacotes de conexo do agressor e do cliente; o agressor, que
tentar realizar os acessos no autorizados; e o cliente/administrador do servio, que far as conexes autorizadas.
Como tanto o agressor quanto o cliente/administrador do servio faro acesso ao servidor, esses dois
papis podem ser atribudos a um mesmo equipamento,
tornando possvel a utilizao de apenas trs mquinas
virtuais.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

No tocante ao computador utilizado pelo administrador, necessria a instalao e configurao do


cliente do servio de SPA.

35

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

5 Laboratrio de implementao: metodologia e anlise

mria de vdeo, interfaces de rede FastEthernet (100Mbps)


e emulavam um nico processador com um ncleo.

5.1 Ambiente

O sistema operacional instalado nas trs mquinas


virtuais era o Ubuntu GNU/Linux, verso 10.04.1 LTS,
cuja verso do kernel era 2.6.32-25-generic, o Linux foi
escolhido para ser o sistema operacional utilizado no laboratrio, pois era muito utilizado mundialmente, possua grande quantidade de softwares gratuitos disponveis
e era seguro.

Foram criadas trs mquinas virtuais, que assumiram os seguintes papeis:


- mquina Firewall = papel do Firewall;
- mquina Servidor = papel do servidor
Web;
- mquina AgressorAdmin = papis de
agressor e de administrador.
A mquina hospedeira das mquinas virtuais
possua a seguinte configurao: 4 GBytes de memria
RAM, 300 GBytes de disco rgido, processador Intel(R)
Core(TM)2 Quad CPU Q6600 @ 2.40GHz e placa de vdeo com 512 MBytes de memria (memria da prpria
placa de vdeo).
O sistema operacional da mquina hospedeira era
o Windows XP com o Service Pack 3.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

- interface do computador AgressorAdmin


na rede virtual intnet, configurada com o
endereo IP 192.168.1.2;
- interface do computador Firewall na rede
virtual intnet, configurada com os endereos IPs 192.168.1.1 e 192.168.1.3;

O aplicativo de virtualizao utilizado era o Sun


VirtualBox, verso 3.2.10.

- interface do computador Firewall na rede


virtual intnet2, configurada com o endereo IP 192.168.2.1;

Foram criadas trs mquinas virtuais, conforme

- interface do computador Servidor na

foi explicado anteriormente, e dois seguimentos de rede


virtuais chamados de intnet e intnet2. Esses seguimentos
de rede no se comunicavam e, portanto, atuavam como
redes distintas.

rede virtual intnet2, configurada com o


endereo IP 192.168.2.2; e

Cada mquina virtual possua 512 MBytes de memria RAM, 10 Gbytes de disco rgido, 64 MBytes de me-

36

As redes, o endereamento e as rotas utilizados no


laboratrio (representados na Figura 2) atendiam ao seguinte layout:

- o computador AgressorAdmin se comunicava com diretamente com o computador Firewall e, via roteamento, com o
computador Servidor.

Figura 3 - Rede entre as mquinas virtuais

Fonte: Do autor

Os aplicativos utilizados no laboratrio foram:


- computador AgressorAdmin: fwknop
v1.9.12 (file revision: 1533), cliente ssh
OpenSSH_5.3p1 Debian-3ubuntu4, gpg
(GnuPG) 1.4.10, Nmap 5.00, OpenVAS
2.0.5 e Firefox verso 3.6.12;

- computador Firewall: fwknopd v1.9.12


(file revision: 1533), servidor ssh
OpenSSH_5.3p1 Debian-3ubuntu4, gpg
(GnuPG) 1.4.10, iptables v1.4.4, iptstate
Verso 2.2.1 e Wireshark 1.2.7 ; e

Camuflagem de servios na internet

- computador Servidor: servidor ssh


OpenSSH_5.3p1 Debian-3ubuntu4 e
servidor Web apache 2.2.14.

O aplicativo nmap foi executado no computador


AgressorAdmin a procura de portas de servio disponveis no computador Servidor.

A poltica de segurana que norteou a criao de


regras no firewall a que se segue:

O cliente do servio de fwknopd foi executado no


computador AgressorAdmin, a fim de se verificar a mensagem com as informaes sobre o comando envidado
para o firewall. Nesse momento, no houve a inteno de
se estabelecer nenhuma conexo.

- os pacotes referentes a conexes j estabelecidas so permitidos;


- as conexes do firewall para o prprio firewall so permitidas (alguns servios internos do sistema operacional necessitam
dessa liberao);
- conexes originadas externamente para o
servidor Web so permitidas, sendo que
h a necessidade de converso NAT do
endereo pblico (rede externa) do servidor para o endereo de rede interna o
endereamento interno no divulgado; e
- todas as demais conexes so bloqueadas.
Os usurios do servio SSH se autenticam utilizando certificados digitais.12
A soluo de SPA utilizada no laboratrio o fwknop. Ela utiliza criptografia entre o cliente de SPA (AgressorAdmin) e o servidor de SPA (Firewall). Para esse fim,
so criadas chaves assimtricas para os computadores
AgressorAdmin e Firewall.13
5.2 Roteiro da realizao dos testes
As trs mquinas virtuais foram postas em funcionamento pela console do VirtualBox.
Os servios SSH e Web foram carregados no computador Servidor.
O acesso ao servio Web do computador Servidor
foi realizado com o navegador Firefox do computador
AgressorAdmin e a pgina Web foi apresentada.

12

13

Disponvel em: < http://www.vivaolinux.com.br/artigo/Cone


xao-com-chaves-assimtricas-sem-uso-de-senha-em-servidor-sshd>. Acesso em: 15 maio 2011.
Disponvel em: < http://cipherdyne.org/fwknop/docs/gpghow
to.html>. Acesso em: 15 maio 2011.

A ferramenta Wireshark foi iniciada no computador Firewall e os pacotes enviados pelo cliente do servio
de fwknop, vindos do computador AgressorAdmin, passaram a ser monitorados.
O script do cliente do servio fwknopd foi executado
no computador AgressorAdmin. A sesso de SSH foi estabelecida automaticamente com o computador Servidor.
O aplicativo nmap foi imediatamente executado
no computador AgressorAdmin, para verificar a existncia de alguma outra porta de servio no computador
Servidor alm da porta 80 (Web), pois a sesso SSH ainda
estava estabelecida.
O script do cliente do servio fwknopd foi executado novamente no computador AgressorAdmin.
As regras do IPTables foram verificadas no computador Firewall.
Dado algum tempo, fez-se nova verificao das regras de filtragem no computador Firewall.
O aplicativo iptstate foi carregado no computador
Firewall e as conexes foram verificadas.
Com a sesso de SSH ainda estabelecida, o aplicativo grfico OpenVAS foi utilizado no computador
AgressorAdmin procura de falhas de segurana no
computador Servidor.
Os procedimentos de teste foram repetidos vrias
vezes.
Vrios dados foram gerados e registrados nos arquivos de log do sistema operacional Ubuntu/Linux e da prpria ferramenta de SPA. Os dados do log do sistema operacional foram consultados, pois mostram as aes tomadas
no momento em que os pacotes foram recebidos pelo servidor fwknopd. O segundo arquivo (log da soluo fwknop) foi
examinado em virtude de possuir os digests de cada pacote
do comando de criao das regras de filtragem no firewall.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

- todas as conexes partindo do firewall so


permitidas;

37

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

- Resultado: Ao receber o comando do


cliente do aplicativo Fwknop, o firewall criou regras de filtragem, permitindo o acesso ao recurso solicitado
(servio SSH), e criou regras de NAT,
convertendo a porta gerada aleatoriamente para a porta do servio SSH
(porta 22).

5.3 Resultados
a) Comando NMAP antes do acesso ao
servio SSH
- Resultado: O servio Web foi
detectado na porta 80. Embora o
servio de SSH estivesse presente,
no se pde detectar nada, pois no
existiam regras no firewall liberando
acesso a esse servio.
b) Execuo do cliente do servio fwknopd

g) Verificao das regras do firewall, algum


tempo depois e com a sesso de SSH inda
estabelecida

- Resultado: Entre os campos que compunham o pacote, existia informao


gerada aleatoriamente (Random data)
que, com a ajuda do selo de tempo
(Timestamp), garantia que um pacote
jamais fosse igual a outro. A exclusividade de cada
A porta para o acesso ao servio SSH era escolhida aleatoriamente e fazia parte de uma regra de Network
Address Translation-NAT criada no firewall.
c)

- Resultado: Aps o tempo determinado


nas configuraes do servio fwknopd,
as regras de filtragem e de NAT foram
apagadas e novas conexes para o servio de SSH passaram a ser rejeitadas.
h) Verificao das conexes ativas com o
aplicativo iptstate
- Resultado: Mesmo aps as regras
de acesso ao servio SSH terem sido
apagadas, a conexo do computador
AgressorAdmin permaneceu ativa.
Isso foi possvel devido existncia
de uma regra permitindo que as conexes j estabelecidas continuassem
ativas (iptables -A FORWARD -m state --state RELATED,ESTABLISHED
-j ACCEPT).

Payload dos pacotes capturado no Wireshark


- Resultado: O comando enviado para
a criao de regras de filtragem estava
criptografado com a chave pblica da
mquina Firewall.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

d) Resultado da execuo do script que


roda o cliente do servio fwknopd

38

i)

- Resultado: Aps a digitao do PIN do


certificado digital, o acesso ao servio
SSH foi estabelecido automaticamente
na porta aleatria.
e)

f)

- Resultado: A nica porta que pde


ser analisada foi a porta 80 do servio
Web, mas, mesmo assim, no foram
encontradas vulnerabilidades nesse
servio, uma vez que o seu software

Execuo do nmap com a sesso SSH estabelecida


- Resultado: Apenas o servio Web
continuou a ser detectado. Apesar de
a conexo SSH estar ativa, a porta de
servio no podia ser notada.
Verificao das regras do firewall, logo
aps a conexo com o servio SSH

Verificao de falhas em aplicativos do


computador Servidor

estava devidamente atualizado.


j)

Log do arquivo /var/log/messages no


computador Firewall

- Resultado: O relatrio de log informou a deteco do pacote de comandos e as aes tomadas para atender
solicitao de acesso. As regras criadas
bem como as regras que foram remo-

Camuflagem de servios na internet

vidas eram apresentadas com todos os


seus detalhes.

Os pontos positivos da camuflagem com SPA podem ser assim identificados:

k) Log do arquivo / var/log /fwknop/digest.


cache no computador Firewall

As regras de filtragem criadas no firewall e apagadas automaticamente aps um curto perodo de tempo
proporcionam uma camuflagem eficiente;

6 Consideraes finais
Este trabalho apresentou uma soluo que tenta
resolver algumas deficincias especficas da segurana de
permetro das redes.
Geralmente, o firewall a ferramenta que possui
o encargo de proteger o permetro das redes corporativas
(CHESWICK; BELLOVIN; RUBIN, 2005, p. 30). Northcutt
et al. (2002, p. 5) tambm indicam os sistemas de deteco
de intruso como auxiliares do firewall em sua misso.
Ambas as ferramentas citadas possuem deficincias, podendo ser enganadas em alguns casos. A tcnica
de camuflagem conhecida como Single Packet Authorization - SPA evita a explorao dessas falhas.
A comprovao da eficincia do SPA se deu com
a avaliao do aplicativo Fwknop. Foram precisos alguns
ajustes no sistema operacional, no firewall e no servio
SSh, a fim de que a soluo apresentasse a eficincia desejada. Aps os ajustes necessrios, os objetivos foram atingidos; porquanto, foi possvel realizar a administrao
remota do servidor Web e quaisquer tentativas de deteco do servio SSh foram infrutferas, ou seja, o servio
referido permaneceu disponvel para o acesso autorizado
e, ao mesmo tempo, estava invisvel (camuflado) para os
demais usurios da rede.
Apesar do sucesso na ocultao do servio, a camuflagem proporcionada pelo SPA no completa. O
trfego entre o cliente e o servidor poderia ser monitorado e o padro de comunicao do protocolo permitiria a
deduo do servio que acessado.

A criptografia das mensagens enviadas para o firewall impede o acesso s informaes pertinentes criao dinmica das regras de filtragem;
A gerao aleatria de algumas informaes que
compem os comandos enviados para o firewall faz com
que cada pacote seja exclusivo. Dessa forma, evita-se a realizao de um ataque de repetio; e
A no disponibilizao de soquetes e a ausncia
de reposta para os pacotes recebidos pela soluo de SPA
ajudam a autopreservar o servio que implementa a soluo.
E como pontos negativos da camuflagem com
SPA, podem ser citados:
No h proteo dos servios contra a anlise do
trfego e os ataques do tipo man-in-the-middle, sendo
aconselhvel o uso de algum tipo de criptografia na comunicao entre o cliente e o servio acessado; e
O computador cliente que utiliza a soluo no
tratado e pode ser comprometido, o que permitiria a um
hacker acessar o servio camuflado.

Referncias
CHESWICK, Willian R.; BELLOVIN, Steven M.; RUBIN,
Aviel D. Firewalls e segurana na Internet: repelindo o
hacker ardiloso. 2. ed. Porto Alegre: Bookman, 2005.
COMER, Douglas E. Interligao em rede com TCP/IP:
princpios, protocolos e arquitetura. 3. ed. Rio de Janeiro:
Campus, 1998. v. 1.
COMER, Douglas E. Redes de computadores e internet. 4.
ed. Porto Alegre: Bookman, 2007.
DEGRAAF, Reinderd G. N. Enhancing firewalls:
conveying user and application identification to network
firewalls. 2007. Dissertao (mestrado). The University of
Calgary, 2007. Disponvel em: <http://www.ciphertext.
info/papers/thesis-degraaf.pdf>. Acesso em: 27 maio
2012.
ERICKSON, Jon. Hacking: the art of exploitation. 2. ed.
San Francisco: No Starch Press, 2008.

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

- Resultado: Os resultados colhidos


nesse relatrio de log mostraram que
os digests (resultados dos algoritmos
de hash) eram diferentes para cada
comando que foi enviado para o
firewall. Isso deixou claro que as
informaes enviadas em cada pacote
do cliente do aplicativo Fwknop eram
diferentes.

39

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

FUCHSBERGER, Andreas. Intrusion detection systems


and intrusion prevention systems. Information Security
Technical Report, Londres, n. 10, p. 134 139. 2005.
Disponvel em:<http://faculty.kfupm.edu.sa/ics/salah/
misc/courses/cse551/slides/IDS%20and%20IPS.pdf>.
Acesso em: 27 maio 2012.
ISABEL, Dawn. Port Knocking: beyond the basics.
InfoSec Reading Room, v. 9, mar. 2005. Disponvel em:
</www.sans.org/reading_room/whitepapers/sysadmin/
port-knocking-basics_1634 >. Acesso em: 25 maio 2012.
JEANQUIER, Sebastien. Analysis of port knocking and
single packet authorization. 2006. Dissertao (Mestrado)University of London. Disponvel em: <http://www.
securitygeneration.com/wp-content/uploads/2010/05/
An-Analysis-of-Port-Knocking-and-Single-PacketAuthorization-Sebastien-Jeanquier.pdf>. Acesso em: 26
maio 2012.

LEMOS, Robert. Admins warned of brute-force SSH


attacks. SecurityFocus, maio 2008. Disponvel em: <http://
www.securityfocus.com/news/11518>. Acesso em: 21
nov. 2010.
MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George.
Hacking exposed: network security secrets & solutions. 5.
ed. Emeryville: McGraw-Hill, 2005.
NORTHCUTT, Stephen et al. Desvendando segurana em
redes. Rio de Janeiro: Campus, 2002.
RASH, Michael. Single packet authorization with fwknop.
Usenix login: Magazine, v. 31, n. 1, fev. 2006. p. 63-69.
Disponvel em: <http://www.usenix.org/publications/
login/2006-02/pdfs/rash.pdf>. Acesso em: 02 dez. 2010.
TANENBAUM, Andrew S. Redes de computadores. 4. ed.
Rio de Janeiro: Elsevier, 2003.

KRZYWINSKI, M. Port Knocking: Network


authentication across closed ports. SysAdmin Magazine
12, p. 1217, dez. 2003. Disponvel em: <http://www.
portknocking.org/>. Acesso em: 03 dez. 2010.

Anexo A

Anexo B

Alguns comandos utilizados e arquivos verificados durante a realizao do laboratrio

Configurao da ferramenta da soluo de spa

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

Execuo do aplicativo nmap procura de portas


de servio no computador Servidor: nmap 192.168.1.3

40

Execuo do cliente fwknop, para verificar a mensagem com o comando envidado para o firewall: fwknop
-A tcp/22 --gpg-recip EE2E4F82 --gpg-sign A7B82C42
--NAT-rand-port --Forward-access 192.168.2.2 -a
192.168.1.2 -D 192.168.1.1
Verificao das regras do firewall IPTables: iptables nvL e fwknopd --fw-list

Para que camuflagem possa ser posta em prtica,


devem ser realizadas as configuraes a seguir:
a)

Arquivo /etc/fwknop/access.conf do computador Firewall


- Autorizao do servio SSH
OPEN_PORTS: tcp/22;
- ID do certificado digital do cliente
GPG_REMOTE_ID: A7B82C42;
- ID do certificado digital do servidor.

Execuo do aplicativo Iptstate: iptstate


GPG_DECRYPT_ID: EE2E4F82;
Arquivo de log do Ubuntu/Linux: /var/log/messages
Arquivo de log do fwknop: /var/log/fwknop/digest.cache

- Diretrio onde se encontram os arquivos do gnupg.


GPG_HOME_DIR: /root/.gnupg;
- PIN necessrio para a utilizao da chave privada do servidor
GPG_DECRYPT_PW: posgraduacao;

Camuflagem de servios na internet

- Tempo, em segundos, de durao das


regras de filtragem no firewall

IPT_INPUT_ACCESS ACCEPT, src,


filter, INPUT, 1, FWKNOP_INPUT, 1;

FW_ACCESS_TIMEOUT: 30;

IPT_FORWARD_ACCESS ACCEPT,
dst, filter, FORWARD, 1, FWKNOP_
FORWARD, 1;

- Autorizao para a criao de regras na


chain FORWARD

IPT_DNAT_ACCESS DNAT, src, nat,


PREROUTING, 1, FWKNOP_PREROUTING, 1;

b) Arquivo fwknop.conf do computador Firewall


- Nome do servidor fwknopd
HOSTNAME Firewall;

c)

Script ConectaFwnop, utilizado pelo


computador AgressorAdmin, para criao e envio de comando ao firewall

- Tipo de firewall com o qual o servio


fwknopd ir trabalhar

# Mensagem solicitando a digitao


de senha.

FIREWALL_TYPE iptables;

echo

- Modo de captura das mensagens do


cliente fwknop

echo Digite a senha do certificado

AUTH_MODE PCAP;

# Comando de criao de regra de filtragem, com o retorno do resultado


sendo armazenado pela varivel de-

- Interface que ser monitorada pelo aplicativo PCAP


PCAP_INTF eth1;
- Permisso para que o aplicativo PCAP
trabalhe em modo promscuo
ENABLE_PCAP_PROMISC Y;
- Faixa de portas e protocolo analisados
pelo aplicativo PCAP
PCAP_FILTER udp dst portrange 1000065535;
- Instruo para a utilizao da chain
FORWARD
ENABLE_IPT_FORWARDING Y;
- Tamanho mximo, em bytes, dos pacotes que sero analisados
MAX_SNIFF_BYTES 1500;

nominada porta.
porta=`fwknop -A tcp/22 --gpg-recip EE2E4F82 --gpg-sign A7B82C42
--NAT-rand-p or t--For ward-access 192.168.2.2 -a 192.168.1.2 -D
192.168.1.1 | grep Request | cut -d
-f14`
# No caso de a senha ter sido digitada
corretamente, a varivel denominada
porta armazenar o nmero da porta
do servico SSH. Sendo assim a estrutura de deciso ir realizar o acesso ao
servio mencionado.
# Caso a senha esteja incorreta, uma
mensagem de erro ser apresentada
ao usurio.
if test `echo $((porta+1))` -gt 1

- Localizao dos arquivos do gnupg


GPG_DEFAULT_HOME_DIR

digital:

/root/.

gnupg;
- Parmetros que sero usados na criao
das regras no firewall IPTables

then
echo
echo
echo Abrindo conexao com o servidor de ssh...

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

ENABLE_FORWARD_ACCESS: Y;

41

Jos Carlos Fernandes de Macedo, Marco Antnio de Oliveira Arajo

echo
echo
ssh -p $porta -2 root@192.168.1.3
else
echo
echo ******************************
*************************************
****************
echo * A senha do certificado digital
foi digitada incorretamente. O programa sera finalizado. *
echo ******************************
*************************************
****************
echo

Universitas Gesto e TI, v. 2, n. 2, p. 29-42, jul./dez. 2012

fi

42

* A
A
1
G
p
F
v
A
(
2
P
p
g
U
A
P
p
m
r
c