Na prática de Hardening de serviço de rede, o foco é eliminar serviços desnecessários que por padrão estejam ativos e reavaliar as configurações do servidor SSH.
1. Revise todos os serviços ativos TCP e de defina quais devem realmente estar ativos; 2. Revise todos os serviços ativos UDP e de defina quais devem realmente estar ativos; 3. Avalie as conexões baseadas em Rawsocket;
4. Realize um Hardening no SSH. 1 Mude a porta padrão;
1 Defina que somente o grupo sysadmin pode realizar login; 1 Desabilita o login direto via usuário root;
1 Defina o serviço SSH para ouvir somente no IP definido e no localhost; 1 Ative registro de eventos do SFTP.
5. Crie controles com FAIL2BAN contra ataques de Força Bruta e Negação de Serviço. 6. Avalie os controles do Fail2ban com o HYDRA.
7. Avalie os controles do Fail2ban com o MEDUSA. 8. Habilite autenticação exclusiva via chaves simétricas.
Guarde as informações levantadas, pois no capítulo 5 será proposto Harderning do Apache e, após realizados os procedimentos, deveremos repetir esses exercícios para comparar e avaliar as melhorias obtidas.
9. Realize uma avaliação de um servidor usando as ferramentas NMAP, AMAP, HTTPRINT, HTTPSQUASH e NIKTO, no servidor Apache.
9.1. Leitura de banner:
# echo “GET http 1.0” | nc <IP ALVO> 80 9.2. Leitura de banner via nmap:
# nmap -sV -n -P0 -p 80,443 <IP ALVO>
9.3. Coleta de informações via fingerprint no serviço http: # cd /pentest/enumeration/www/httprint/Linux/ # ./httprint -h <IP ALVO> -s signatures.txt
H ar de ni ng e m L inu x
9.4. Coleta de informações de serviço http:
# cd /pentest/enumeration/complemento/httsquash #./httsquash -r <IP ALVO>
9.5. Coleta de informações via amap: # amap -bq <IP ALVO>80 # amap -bq <IP ALVO>
9.6. Coletando informações via “fingerprint de serviço” com httpp: # nmap --script http-enum <IP ALVO>
9.7. Coletando informações com o nmap usando o script http-enum: # nmap --script http-enum -p <IP ALVO>
9.8. Coletando informações com o nmap usando o script http-headers: # nmap - -script http-headers <IP ALVO>
9.9. Coletando informações com o nmap usando o script http-methods: # nmap --script http-methods <IP ALVO>
9.10. Coletando informações com o nmap usando o script http-php-version: # nmap --script http-php-version <IP ALVO>
9.11. Coletando informações com o nmap usando todos os scripts:
# nmap --script http-enum,http-headers,http-methods,http-php- version <IP ALVO>
Ca pí tu lo 5 - S er vi ço s d e R ed es – P ar te 2
obj
et
ivo
s
co
nc
ei
to
s
5
Serviços de Redes – Parte 2
Aprender hardening em servidores Apache, PHP e servidores BIND; Fazer configu- ração do PS-WATCHER; Identificar serviços de rede ativos; Reforçar a segurança do serviço SSH; Implementar mecanismo contra ataque de Força Bruta.
Serviço Web, baseado no Apache com PHP; Serviço DNS, baseado no BIND.
Hardening
q
Primeiro passo:
1 Verificar se o serviço está desatualizado.
2 Se estiver desatualizado: vai permitir que ataques de Negação de Serviço (DOS) e/ ou de execução remota de comandos possam estar presentes vinculados a poten- ciais vulnerabilidade publicadas.
Diante disso, recomenda-se verificar informações de vulnerabilidade pontuais com o comando debsecan:
debsecan | grep apache
Caso exista, devemos aplicar a atualização.
É recomendável rever as regras de diretório, definida como “ServerRoot”. É recomendável identificar o diretório padrão das configurações do serviço do Apache, definido na diretriz “ServerRoot” dentro do arquivo apache2.conf, pois os ajustes de configuração são feitos nesses arquivos.
Uma maneira simples de identificar como estão distribuídos os arquivos de configuração de um determinado pacote: basta consultar informações do pacote. Em distribuições like Debian, para identificar a estrutura de arquivos de configuração e binários, basta usar o comando dpkg no pacote instalado da seguinte forma::
# dpkg -L apache2-common
Estrutura da organização dos arquivos de configuração do pacote do Apache 2 na distri- buição Ubuntu:
H ar de ni ng e m L inu x
/etc/apache2/conf.d: Diretório de arquivos de configurações adicionais
/etc/apache2/mods-available : configurações de módulos disponíveis /etc/apache2/ mods-enabled: configurações de módulos ativos
/etc/apache2/ sites-available : configurações de sites disponíveis /etc/apache2/sites-enabled: configurações de sites ativos
Normalmente, na maioria das distribuições Linux, as configurações pré-definidas na criação dos pacotes atendem bem. No entanto, segue uma exemplificação da configuração ideal, onde o usuário root deve ser o dono dos arquivos e o permissionamento de grupo deve estar vinculado ao grupo root.
cd /etc/apache 2
chown root.root /etc/apache2 chmod -R 750 /etc/apache2
Antes de qualquer modificação, em qualquer arquivo de configuração do Apache, é reco- mendável manter uma cópia do arquivo original, conforme o exemplo:
# cp apache2.conf apache2.conf_ORIGINAL
# grep -v ^# apache2.conf_ORIGINAL | grep . > apache2.conf
É recomendável verificar se o usuário de sistema responsável pelo deamon do Apache (http) tem uma shell inválida. Adiante, é necessário identificar o usuário na distribuição em uso vinculado ao Apache. No Ubuntu, é o usuário www-data.
Para certificar o usuário utilizado pelo Apache, devemos identificar as definições para opções User e Group no arquivo de configuração apache.conf.
# These need to be set in /etc/apache2/envvars User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
Os valores das variáveis são estabelecidos no arquivo /etc/apache2/envvars:export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
O serviço do Apache deve ser iniciado pelo usuário root, ou seja, o processo principal. Mas com a definição de “User”, ele muda para o usuário definido pela diretiva. Dessa forma, os processos que atendem as conexões estarão vinculados a um usuário não privilegiado. Um vez identificado o usuário, devemos verificar qual shell está definida:
# grep ^www-data /etc/passwd
www-data:x:33:33:www-data:/var/www:/bin/sh # grep www-data /etc/group
www-data:x:33: