Especializao em Segurana da Informao Segurana em Banco
Especialização em Segurança da Informação Segurança em Banco de Dados e Aplicações 2. Segurança em Storage Márcio Aurélio Ribeiro Moreira marcio. moreira@pitagoras. com. br http: //www. teraits. com/pitagoras/marcio/
Objetivos do capítulo Ø Mostrar os tipos de RAID existentes Ø Mostrar os principais problemas de segurança em ambientes de armazenamento: DAS, NAS, SAN e Backups Ø Apresentar as recomendações para resolver ou evitar os problemas apresentados Márcio Moreira 2. Segurança em Storage – Slide 2 Segurança em Banco de Dados e Aplicaçoes
O armazenamento nas organizações Ø Banco da Índia (2007): l 14. 000 filiais em todo o país l 11. 000 escritórios conectados ao Data Center l Mais de 20 milhões de clientes l ≈ 100 TB armazenados v. Crescimento exponencial l Questões de segurança: v. Compressão / Cifragem v. Antivírus v. Firewall e IDS Fonte: Ramakrishnan Márcio Moreira 2. Segurança em Storage – Slide 3 Segurança em Banco de Dados e Aplicaçoes
Demanda de performance e espaço Demanda Espaço 8 X Demanda Performance 300% 7 X 253% 250% 6 X Demanda anual de 50% de espaço e performance 4 X 2 X Márcio Moreira 169% 113 % 3 X 1 X 200% 75% 1 X 50% 1. 5 X 2. 3 X Hoje 1 Ano 2 anos 2. Segurança em Storage – Slide 4 7. 6 X 100% 5. 1 X 3. 4 X 3 anos 150% 4 anos 5 anos Fonte: Ramakrishnan 5 X Segurança em Banco de Dados e Aplicaçoes
Alternativas para a demanda Ø Podemos resolver com RAMs? l Caras e voláteis só para processamento Ø Podemos utilizar fitas? l Baratas e lentas por serem seqüenciais backups Ø Podemos resolver com CDs e DVDs? l Baratos e aleatórios. Mas, lentos distribuição Ø Podemos resolver com HDs? l Preço justo, aleatórios e rápidos muitos HDs l Onde colocar tantos HDs? Fora do gabinete Márcio Moreira 2. Segurança em Storage – Slide 5 Segurança em Banco de Dados e Aplicaçoes
Tecnologia RAID Ø Como obter performance e confiabilidade? l RAID: v. Redundant Array of Independent Disks v. Um conjunto de HDs é visto pelo SO como uma única unidade de disco l Vantagens: v. Grande capacidade de armazenamento v. Acesso paralelo melhor performance v. Permite o espelhamento de dados l Desvantagens: v. Custo: requer hardware ou software especial v. Se espelhado: requer o dobro de espaço Márcio Moreira 2. Segurança em Storage – Slide 6 Segurança em Banco de Dados e Aplicaçoes
Por dentro dos Disk Arrays Host Interface Fault Tolerant Cache Memory Gaveta do sistema operacional Array Controller Disk Directors Gavetas de discos Fonte: EMC Márcio Moreira 2. Segurança em Storage – Slide 7 Segurança em Banco de Dados e Aplicaçoes
RAID 0 - Striping ou Fracionamento Ø Os dados são divididos em segmentos e estes são colocados nos HDs Ø Não há redundância Sem RAID: 3 HDs num mesmo host. Cada HD contem um volume Com RAID 0: Os volumes são divididos em blocos e movidos para balancear a carga de atividades. Fonte: EMC Márcio Moreira 2. Segurança em Storage – Slide 8 Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 1 Middle Volume 2 Middle Volume 3 Middle Volume 1 End Volume 2 End Volume 3 End Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 2 Middle Volume 3 Middle Volume 1 Middle Volume 3 End Volume 1 End Volume 2 End Segurança em Banco de Dados e Aplicaçoes
RAID 1 - Mirroring ou Espelhamento Ø Os dados de um HD são espelhados em outro gerando redundância Sem RAID: 3 HDs num mesmo host. Com RAID 1: Um espelho de cada HD é criado gerando um para de HDs. Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 1 Middle Volume 2 Middle Volume 3 Middle Volume 1 End Volume 2 End Volume 3 End Fonte: EMC Márcio Moreira 2. Segurança em Storage – Slide 9 Segurança em Banco de Dados e Aplicaçoes
RAID 1+0 - Performance e Redundância Ø Os HDs (volumes físicos) são espelhados e os volumes lógicos divididos Sem RAID: 3 HDs num mesmo host. Com RAID 1+0: HDs espelhados. Volumes lógicos fracionados Fonte: EMC para Márcio Moreira balancear Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 1 Middle Volume 2 Middle Volume 3 Middle Volume 1 End Volume 2 End Volume 3 End Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 2 Middle Volume 3 Middle Volume 1 Middle Volume 3 End Volume 1 End Volume 2 End 2. Segurança em Storage – Slide 10 Segurança em Banco de Dados e Aplicaçoes
Paridade de dados Ø A paridade é utilizada para tentar recuperar dados perdidos Group 1 Group 2 Group 3 0 1 1 Parity for 1 st Group = 0 Parity for 2 nd Group = 1 0 1 Parity for 3 rd Group = 1 LOST DATA 1 DATA + DATA = Parity Fonte: EMC Márcio Moreira Group 1 0 + 1 = 0 Group 2 0 + 1 + 0 = 1 Group 3 1 + ? = 1 2. Segurança em Storage – Slide 11 Segurança em Banco de Dados e Aplicaçoes
RAID 5 - Fracionamento e paridade Ø Divide os dados no nível de bloco e acrescenta um bloco de paridade Ø Requer no mínimo 3 discos Sem RAID: 3 HDs num mesmo host. Fonte: EMC Márcio Moreira Com RAID 5: Um grupo de drives são agrupados como um volume físico. Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Volume 1 Middle Volume 2 Middle Volume 3 Middle Volume 1 End Volume 2 End Volume 3 End Volume 1 Beginning Volume 2 Beginning Volume 3 Beginning Parity for 3 rd Group Parity for 2 nd Group Volume 3 Middle Volume 2 Middle Volume 1 Middle Volume 3 End Volume 1 End Parity for 1 st Group Volume 2 End 2. Segurança em Storage – Slide 12 Segurança em Banco de Dados e Aplicaçoes
Níveis de RAID Nível Mínimo Discos Técnica Aplicação Comentários 0 Fracionamento em blocos 2 Alta performance Sem redundância 1 Espelhamento 2 Alta disponibilidade e performance Implantação simples 2 Fracionamento em bits Monitoramento em RAM 2 Alta performance e disponibilidade Nenhum uso comercial 3 Fracionamento em bytes Disco de paridade 3 Alta performance e disponibilidade Menor custo 4 Fracionamento em blocos (Múltiplos I/O) Disco de paridade 3 Processamento de transações Alta disponibilidade Alta taxa de leitura Baixo uso comercial 5 Fracionamento em blocos (Múltiplos I/O) Discos de paridade independentes 3 Processamento de transações Alta disponibilidade Alta taxa de leitura 6 Fracionamento em blocos (Múltiplos I/O) Múltiplos discos de paridade independentes 4 Processamento de transações Alta disponibilidade Alta taxa de leitura Baixo uso comercial Ø Níveis mais usados comercialmente: 0, 1, 3, 5 e 10 (1+0): Ø Múltiplos I/O Independência de leitura e gravação (acesso múltiplo). Ø Custo comparado para níveis que oferecem mesmos benefícios. Fonte: EMC, IBM, Wikipedia e experiência. Márcio Moreira 2. Segurança em Storage – Slide 13 Segurança em Banco de Dados e Aplicaçoes
Arquiteturas típicas de storage Ø DAS: l Direct Attached Storage Ø NAS: Netware Windows NT/2 K Linux/Unix Direct Attached Storage (DAS) l Network Attached Storage Netware Ø SAN: l Storage Area Network Windows NT/2 K Network Attached Storage (NAS) Linux/Unix NAS Storage Windows NT/2 K FC Switch Netware Linux/Unix Márcio Moreira 2. Segurança em Storage – Slide 14 Storage Area Network (SAN) Segurança em Banco de Dados e Aplicaçoes
Arquiteturas DAS & NAS DAS Márcio Moreira NAS 2. Segurança em Storage – Slide 15 Segurança em Banco de Dados e Aplicaçoes
Arquitetura do NAS Requisita um I/O remoto Servidor Sistema Operacional Chama o Sistema de Arquivos Redirecionador de I/O Redireciona o I/O para o Storage NFS/SMB/CIFS Chamada para o FS do Storage Pilha TCP/IP Encapsula chamada de rede Placa de Rede Márcio Moreira 2. Segurança em Storage – Slide 16 Rede Unidade de Storage Aplicação HDs Storage Protocolo Storage (FC) Protocolo de Drive (SCSI) SO NAS Protocolo NAS Pilha TCP/IP Placa de Rede Segurança em Banco de Dados e Aplicaçoes
Arquitetura do SAN Márcio Moreira 2. Segurança em Storage – Slide 17 Segurança em Banco de Dados e Aplicaçoes
Termos comuns em SANs Ø LUN: Logical Unit Number l Um vetor lógico de unidades de storage (volume lógico) Ø WWN: World Wide Name l Endereço MAC das placas HBAs Ø NS: Name Server l Tabela no switch que relaciona o WWN ao endereço físico Ø Zoning: Ø Fabric: Ø N_Port: Ø FLOGI: Márcio Moreira Segmentação lógica dos nós da rede Topologias de switches de conexão (rede) Uma porta de um nó (portas de hosts) Uma porta de fábrica (portas de switches) Fabric Login (processo de logar na fábrica) 2. Segurança em Storage – Slide 18 Segurança em Banco de Dados e Aplicaçoes
Protocolos da rede SAN Ø A arquitetura NAS usa protocolos de blocos de disco (NFS, SMB ou CIFS) Ø A SAN usa protocolos de arquivos: l i. FCP (IP Fiber Channel Protocol) ou SANo. IP (SAN over IP), mapeando SCSI sobre FCP sobre IP l i. SCSI (Internet SCSI), mapea SCSI sobre TCP/IP l FICON sobre canal de fibra (usado em mainframe) l ATA sobre Ethernet l SCSI e/ou TCP/IP sobre Infini. Band (IB) l FC (Fiber Channel) sobre Ethernet Márcio Moreira 2. Segurança em Storage – Slide 19 Segurança em Banco de Dados e Aplicaçoes
Especialização em Segurança da Informação 1ª parte
Porque segurança em storage? Ø Boa parte dos ambientes de storage usam redes de fibra ótica separadas Ø Muitos administradores assumem que a rede de storage é segura. Será? l Os ambientes IP são mais atacados (sem dúvida) l Isto não que dizer que ambientes FC estejam livres Ø Estes ambientes têm a mesma premissa de segurança de outros ambientes: l As informações devem estar disponíveis somente para usuários que tenham direito de acessá-las Márcio Moreira 2. Segurança em Storage – Slide 21 Segurança em Banco de Dados e Aplicaçoes
Direcionador de segurança Ø Estamos lidando com: propriedade intelectual, informações proprietárias, segredos comerciais, etc. Ø Todos os aspectos de segurança de dados devem ser considerados: l Não usar premissas ou suposição não confirmadas l Especialmente em partes obscuras da segurança l Isto é fundamental para o sucesso da segurança em armazenamento Márcio Moreira 2. Segurança em Storage – Slide 22 Segurança em Banco de Dados e Aplicaçoes
Fatos Ø A maioria das empresas preocupam-se mais com servidores web do que com storage Ø Os storages podem estar conectados a várias redes (DMZ - inadequado, interna, aplicações, banco de dados e backups) Ø Os storages podem estar em segmentos IP: l Sem a segmentação adequada um servidor comprometido pode dar acesso à todas as redes, inclusive as de storage e backup Márcio Moreira 2. Segurança em Storage – Slide 23 Segurança em Banco de Dados e Aplicaçoes
O que acontece se: Ø O Web Server for comprometido? Ø E o DB Server? Márcio Moreira 2. Segurança em Storage – Slide 24 Segurança em Banco de Dados e Aplicaçoes
Porque nos preocupar? Ø O que ocorre se um espião pegar na rede de storage: l Uma senha de root ou de administrador l O código fonte de alguma aplicação l Informações indevidas e a empresa estiver sujeita a leis que a obrigam proteger tais informações Ø As redes de armazenamento estão crescendo Ø Os ataques e as vulnerabilidades estão migrando das redes IPs para as redes FC: l Alguns fabricantes ainda acham que as redes de storage estão imunes a ataques Márcio Moreira 2. Segurança em Storage – Slide 25 Segurança em Banco de Dados e Aplicaçoes
Análise preliminar Medidas da Segurança Práticas de Storage Autenticação Autorização Criptografia Pobre Média Inexistente Resultado: Ruim! Márcio Moreira 2. Segurança em Storage – Slide 26 Segurança em Banco de Dados e Aplicaçoes
Pacote de FC Ø É um frame (pacote) composto de: SOF Header Payload CRC EOF Corpo (área de dados) Cabeçalho Iniciador (Start Of Frame) Márcio Moreira 2. Segurança em Storage – Slide 27 Verificador CRC (Cyclic Redundancy Check) Terminador (End Of Frame) Segurança em Banco de Dados e Aplicaçoes
Arquitetura do protocolo FC Nível Camada Função 4 Mapping (mapeamento) Mapeia os canais e protocolos de rede para o FC: Canais: IPI, SCSI, HIPPI e SBC CS Protocolos: 802. 2, IP e ATM 3 Common Services (serviços comuns) Inclui unicast, multicast e broadcast, etc. 2 Framing Protocol (protocolo do pacote) Define topologia, formato, controle de erro e agrupamentos de frames 1 Transmission Protocol (protocolo de transmissão) Define a codificação e decodificação de sinal 8 B ou 10 B 0 Physical Media (meio físico) Par trançado, cabo coaxial e fibra óptica: 133, 266 e 531 Mbps, e de 1. 0 até 3. 2 Gbps Ø A camada FC-2 (FC nível 2) tem várias fraquezas: ● Autenticação: ● Autorização: ● Cifragem: Márcio Moreira Não tem autenticação na fábrica Parâmetros de autorização fracos Não existe atualmente 2. Segurança em Storage – Slide 28 Segurança em Banco de Dados e Aplicaçoes
Resumo do frame da FC-2 Ø O frame da FC-2 é semelhante ao protocolo da camada MAC (Media Access Control): l Formato do frame l Gerenciamento de seqüência l Gerenciamento de intercâmbio l Controle de fluxo l Login e logout l Topologias l Segmentação e remontagem Márcio Moreira 2. Segurança em Storage – Slide 29 Segurança em Banco de Dados e Aplicaçoes
Detalhes do frame da FC-2 SOF Header Start Of Frame Header 4 bytes 24 bytes CTL Source Address Payload Optional Header Payload 64 bytes 2048 bytes 2112 bytes Data Field Destination Address Type Seq_Cnt CRC EOF CRC Error Check End Of Frame 4 bytes Seq_ID Exchange_ID Ø A camada FC-2 (FC nível 2) tem várias fraquezas de segurança que já foram identificadas e resolvidas no IPv 4 Ø O Payload (data field ou área de dados) pode conter de 0 a 2112 bytes a serem transmitidos Márcio Moreira 2. Segurança em Storage – Slide 30 Segurança em Banco de Dados e Aplicaçoes
Ataques de alta destruição ao FC Ø Classes de ataques: l HBA: l Switches: l Frames: Ataques às placas FC HBAs Ataques aos elementos de rede Ataques aos frames FC Legenda: Placas HBA Switches Pacotes Márcio Moreira 2. Segurança em Storage – Slide 31 Segurança em Banco de Dados e Aplicaçoes
Exemplos de ataques Classe Ataque HBA Spoofing LUN Masking Switch Zoning Frame Márcio Moreira LUN Masking Cut-through switching Share Infrastructure Web Management Session hijacking Man-in-the-middle Exchange ID 2. Segurança em Storage – Slide 32 Descrição Simulação Mascaramento de LUN Troca de zona Mascaramento de LUN Atalho de roteamento Compartilhar infra-estrutura Gerenciamento web Seqüestro de sessão Homem do meio Troca de identidade Segurança em Banco de Dados e Aplicaçoes
Ataque HBA: Spoofing (simulação) Ø Assim como o MAC o WWN pode ser trocado facilmente, inclusive com recursos dos fabricantes Ø Usando o WWN de uma HBA autorizada o espião pode ter acesso à dados não autorizados Márcio Moreira 2. Segurança em Storage – Slide 33 Segurança em Banco de Dados e Aplicaçoes
Ataque HBA: Spoofing Ø Um espião troca o WWN de sua placa HBA pelo WWN da HBA de um usuário válido Ø Assim, o espião pode ter acesso à outra zona e até a uma LUN do usuário válido Márcio Moreira 2. Segurança em Storage – Slide 34 Segurança em Banco de Dados e Aplicaçoes
Switch Zoning (troca da zona) Ø Este ataque permite que um nó da fábrica acesse outro nó usando as políticas de zoneamento Ø Por enquanto, os switches são as únicas entidades (em muitas redes) que concedem ou negam o direito de acesso aos nós: l Porém, o acesso é concedido ou negado baseado na autorização do WWN, sem envolvimento de nenhum outro mecanismo de segurança, tais como: autenticação, integridade ou criptografia Márcio Moreira 2. Segurança em Storage – Slide 35 Segurança em Banco de Dados e Aplicaçoes
Tipos de zoneamento Ø Hard (execução baseada em zoneamento): l 2 ou mais nós da mesma zona recebem as mesmas informações de zoneamento para se comunicarem l Neste caso, há restrição de tráfego entre os nós Ø Soft (Informação baseada em zoneamento): l 2 ou mais nós da mesma zona recebem informações de rotas uns dos outros l Este tipo de zoneamento não faz restrição de tráfego Márcio Moreira 2. Segurança em Storage – Slide 36 Segurança em Banco de Dados e Aplicaçoes
Bases de zoneamento Ø Bases de zoneamento: WWN F_Port l Por WWN: v. Baseia-se somente no WWN de cada placa HBA l Por portas: v. Baseia-se no número de cada porta física (F_Port) do switch FC para cada WWN de cada placa HBA Ø As zonas são mecanismos de segmentação: l Elas são usadas por ferramentas de segurança l Mas, não são mecanismos de segurança Márcio Moreira 2. Segurança em Storage – Slide 37 Segurança em Banco de Dados e Aplicaçoes
Soft Zone Hopping (pulando zonas) Ø Zoneamento soft por WWN: l Simulando um WWN o espião terá acesso às informações da WWN simulada l Sem simular um WWN, se o espião souber a rota para outro WWN numa zona diferente, que pode ser enumerada via fábrica, terá o acesso garantido Ø Zoneamento soft por número de portas: l A simulação de um WWN não terá sucesso, pois cada WWN é vinculado a uma porta específica l Sem simular um WWN, se o espião souber a rota para outro WWN o acesso também será garantido neste caso Márcio Moreira 2. Segurança em Storage – Slide 38 Segurança em Banco de Dados e Aplicaçoes
Hard Zone Hopping (pulando zonas) Ø Zoneamento hard por WWN: l Simulando um WWN o espião terá acesso às informações da WWN simulada l Sem simular um WWN, o espião não terá acesso a outro WWN mesmo que ele saiba a rota certa para isto Ø Zoneamento hard por número de portas: l Nenhum dos ataques, simulação (spoofing) ou roteamento, terão sucesso neste caso l Portanto, esta é nossa recomendação Márcio Moreira 2. Segurança em Storage – Slide 39 Segurança em Banco de Dados e Aplicaçoes
Ataque a uma zona soft por WWN Márcio Moreira 2. Segurança em Storage – Slide 40 Segurança em Banco de Dados e Aplicaçoes
Ataque a uma zona soft por WWN Ø Depois de comprometer o servidor de Web ou de FTP, um espião pode acessar dados corporativos: l Usando o switch FC, simulando seu WWN como WWN-C, WWN-D ou WWN-E l Comprometendo o firewall da rede IP e acessando diretamente a LAN Interna l A segurança do SO é a única proteção de sua rede de storage? Márcio Moreira 2. Segurança em Storage – Slide 41 Segurança em Banco de Dados e Aplicaçoes
Mascaramento de LUN Ø É o processo de esconder ou revelar partes do disco de storage (um LUN) para um nó l Ele cria um subconjunto do storage, um pool virtual, e permite o acesso a somente alguns servidores especificados l Basicamente apresenta um conjunto limitado de LUNs para um nó da rede de storage l Também é um mecanismo de segmentação, não de segurança Ø Pode ocorrer em diferentes lugares: l No client, no switch FC, no nó, numa aplicação ou em dispositivos de terceiros Márcio Moreira 2. Segurança em Storage – Slide 42 Segurança em Banco de Dados e Aplicaçoes
Ataque ao mascaramento de LUN Ø Se o mascaramento ocorre no client, usando um driver HBA, então o espião pode: l Abrir propriedades do mascaramento do nó, que não tem parâmetros de autenticação l Trocar as configurações para remover qualquer um ou todos os mascaramentos Ø Isto também permite ao nó cliente ver todos os LUNs identificados, tendo ou não autorização para isto Márcio Moreira 2. Segurança em Storage – Slide 43 Segurança em Banco de Dados e Aplicaçoes
Troca de informações de LUN Ø O driver HBA troca informações de LUN: Márcio Moreira 2. Segurança em Storage – Slide 44 Segurança em Banco de Dados e Aplicaçoes
Ataques de mascaramento de LUN Ø No switch FC: l Se o mascaramento ocorrer no switch FC, então um WWN simulado pode comprometer as propriedades do mascaramento Ø Na controladora do storage: l A controladora pode ser usada para expor alguns LUNs para alguns WWNs Ø Logo, comprometendo um WWN toda a segurança estará comprometida! Márcio Moreira 2. Segurança em Storage – Slide 45 Segurança em Banco de Dados e Aplicaçoes
Especialização em Segurança da Informação 2ª Parte
Session Hijacking (seqüestro de sessão) Ø Fraquezas do identificador de seqüência: l Seq_ID (identificador) e Seq_Cnt (contador) l Todo frame deve ser parte de uma seqüência l Frames de uma mesma seqüência têm o mesmo Seq_ID l Cada frame na seqüência é controlado pelo Seq_Cnt l Ex: Seq_ID = 1, Seq_Cnt = 1, 2, 3, . . Start Of Frame Header 4 bytes 24 bytes CTL Márcio Moreira Source Address Optional Header Payload 64 bytes 2048 bytes 2112 bytes Data Field Destination Address Type 2. Segurança em Storage – Slide 47 Seq_Cnt CRC Error Check End Of Frame 4 bytes Seq_ID Exchange_ID Segurança em Banco de Dados e Aplicaçoes
Vulnerabilidade explorada Ø No FC os pacotes são seqüenciados na transmissão de uma porta para outra: l O receptor tem que verificar todos os frames para montar a seqüência esperada l Mas, ninguém falou quantos frames existem Ø Um espião pode seqüestrar uma seqüência estabelecida entre 2 nós confiáveis: l Se a seqüência tiver por exemplo 132 frames l Basta continuar criando frames: 133, 134, etc. Márcio Moreira 2. Segurança em Storage – Slide 48 Segurança em Banco de Dados e Aplicaçoes
Ataque do Session Hijacking Ø Se o espião não estiver preocupado com consistência, o ataque é mais simples: l Capture a identificação da seqüência (Seq_ID) l Produza o frame seguinte fazendo: v. Seq_Cnt = Seq_Cnt + 1 l Como não há controle de integridade dos frames, a sessão já estará seqüestrada Márcio Moreira 2. Segurança em Storage – Slide 49 Segurança em Banco de Dados e Aplicaçoes
Endereçamento FC Ø Endereços de 24 bits (source e destination): l 8 bits: Domínio (switch ID) l 8 bits: Área (grupo de F_Ports) l 8 bits: Porta (N_Port) ID Start Of Frame Header 4 bytes 24 bytes CTL Source Address F_Ports N_Port Márcio Moreira Optional Header Payload 64 bytes 2048 bytes 2112 bytes Data Field Destination Address ID F_Ports Type Seq_Cnt CRC Error Check End Of Frame 4 bytes Seq_ID Exchange_ID N_Port 2. Segurança em Storage – Slide 50 Segurança em Banco de Dados e Aplicaçoes
Roteamento FC Ø Roteamento: l Um nó (N_Port) é dinamicamente atribuído a um endereço de 24 bits, usualmente pelo switch seguindo a topologia (fábrica), este endereço é usado para fazer o roteamento l No switch a Name Servers Table (tabela de servidores) mantém o endereço da Porta (24 bits) e do WWN (64 bits) Ø O que isto nos lembra? l Roteamento IPv 4 Márcio Moreira 2. Segurança em Storage – Slide 51 Segurança em Banco de Dados e Aplicaçoes
Ataque man-in-the-middle Ø Explora fraquezas da fábrica para entrar nela: l O espião envia um login para a Fábrica (FLOGI) para o endereço 0 x. FFFFFE (semelhante ao broadcast) usando o endereço 0 x 000000 (pois ele não sabe seu N_Port) l A fábrica e o switch associado recebe o frame e envia um frame de aceitação (ACC) para o espião l O frame ACC tem dentro dele o N_Port certo do espião l Agora o espião tem o N_Port dele e da fábrica l Como não há validação nem autenticação, ele envia um port login (PLOGI) para 0 x. FFFFFC (endereço que permite a um servidor atualizar a tabela de WWN no switch) Márcio Moreira 2. Segurança em Storage – Slide 52 Segurança em Banco de Dados e Aplicaçoes
Contaminando a tabela de servidores Ø A fábrica assume que os frames da conexão devem ser enviados ao WWN do espião: l Assim, todos os frames destinados ao nó destino passam primeiro pelo nó do espião l Pronto, o espião virou o homem do meio! Márcio Moreira 2. Segurança em Storage – Slide 53 Segurança em Banco de Dados e Aplicaçoes
Replicação E_Port Ø As E_Ports (Expansion Ports) dos switches FC fornecem “uplink” para outros switches: l Quando os switches descobrem a conexão com outro pela E_Port, eles compartilham: informação da fábrica, gerenciamento e tabelas (nomes de servidores e de zoneamento) l Normalmente, a replicação via E_Port requer autenticação Ø Por padrão, todas as portas dos switches FC podem ser F_Ports ou E_Ports Márcio Moreira 2. Segurança em Storage – Slide 54 Segurança em Banco de Dados e Aplicaçoes
Vulnerabilidade no controle de fluxo Ø Um dispositivo pode transmitir frames para outro somente quando o receptor está pronto: l Antes de enviar dados uns para os outros, os dispositivos precisam fazer login e estabelecer créditos entre si l Créditos: v. Número de frames que um dispositivo pode receber por vez v. Este valor é compartilhado durante o login l Interrupção do controle de fluxo: v. No compartilhamento não há autenticação nem integridade v. Um espião pode trocar informações de serviço entre 2 nós autorizados e interromper o serviço Márcio Moreira 2. Segurança em Storage – Slide 55 Segurança em Banco de Dados e Aplicaçoes
Atalhos de roteamento (cut-through) Ø Alguns switches olham apenas o D_ID (Destination ID ou endereço de destino) para rotear o frame Ø Isto aumenta a performance reduzindo o tempo necessário para decidir rotas Ø Entretanto, o frame é encaminhado sem verificação de S_ID (Source ID ou endereço de origem) l Os endereços D_ID e S_ID são de 24 bits Márcio Moreira 2. Segurança em Storage – Slide 56 Segurança em Banco de Dados e Aplicaçoes
Web Management Ø O protocolo http passa dados em texto plano Ø Isto é péssimo para a segurança Ø Além disto, as senhas padrões dos switches FC são todas conhecidas: l password, admin, manage, prom, filer, netcache, monitor, temp, root, backup, Ku. Su. M, momanddad, <switch vendor>, <company name>, letmein, secureme, abcd 1234, money, Config, test, secret, keepout, test 123 e green Ø Logo, evite o gerenciamento remoto via web Márcio Moreira 2. Segurança em Storage – Slide 57 Segurança em Banco de Dados e Aplicaçoes
Arquitetura alvo Ø Robusta? Márcio Moreira 2. Segurança em Storage – Slide 58 Segurança em Banco de Dados e Aplicaçoes
Ataque Web Management fase 1 Ø Comprometa o Servidor Web Ø Ganhe acesso ao Servidor BD Ø Comprometa o Firewall Interno Ø Uma vez na Rede Interna, ataque a interface IP do Switch FC Ø Comprometa o Switch FC Márcio Moreira 2. Segurança em Storage – Slide 59 Segurança em Banco de Dados e Aplicaçoes
Ataque Web Management fase 2 Ø Usando a fase 1 comprometa o Switch FC Ø Instale “aplicações” usando o caminho comprometido ou: l Use a manutenção da rede interna como entrada l Seja um: v“Fornecedor” v“Consultor” v“Parceiro de Negócios” v. Etc. Márcio Moreira 2. Segurança em Storage – Slide 60 Segurança em Banco de Dados e Aplicaçoes
Web Management considerações Ø Se o acesso direto aos dados não é possível: l l Levante a topologia por enumeração Faça um spoofing usando WWN Acesse o switch via linha de comando Complete as informações da zona Márcio Moreira 2. Segurança em Storage – Slide 61 Segurança em Banco de Dados e Aplicaçoes
Exemplos de enumeração Márcio Moreira 2. Segurança em Storage – Slide 62 Segurança em Banco de Dados e Aplicaçoes
Ataque Share Infrastructure Ø Inicialmente: l Servidor do espião conectado na F_Port do Switch FC central Ø Ataque: l O espião troca o servidor por um Switch FC com E_Port l O Switch central troca o modo da porta para E_Port e replica todos os dados para o novo switch Ø Compromete-se o que estiver conectado ao switch central Márcio Moreira 2. Segurança em Storage – Slide 63 Segurança em Banco de Dados e Aplicaçoes
Conclusão ØSoluções de segurança: l. Existem muitas vulnerabilidades! l. Mas, existem muitas soluções de segurança que podem ajudar a instalar e manter um ambiente de storage seguro! Márcio Moreira 2. Segurança em Storage – Slide 64 Segurança em Banco de Dados e Aplicaçoes
Switches FC: ações de curto-prazo Ø Zoneamento hard nas portas físicas: l Adiciona um nível razoável de segurança l Evita o ataque de Spoofing (simulação) Ø Port Binding (vinculação de portas): l Bloqueia a porta física somente para um WWN l Evita o ataque de Spoofing (simulação) Ø Controle de tipos de porta: l Trava uma porta para um determinado tipo de porta: F_Port ou E_Port l Evita o ataque de replicação de E_Port Márcio Moreira 2. Segurança em Storage – Slide 65 Segurança em Banco de Dados e Aplicaçoes
Switches FC: ações de longo-prazo Ø SLAP (Switch Layer Authentication Protocol): l Habilita autenticação digital entre switches l Evita o ataque de Web Management Ø Fabric Membership Authorization: l Incorpora em cada switch uma lista de WWNs autorizados a associar-se à fábrica l Evita o ataque de replicação de E_Port Ø Fabric Configuration Servers: l Um switch é eleito único administrador de switches l Ele usa sua própria autenticação ao invés de SNMP ou credenciais (usuário e senha): evita o Web Management Márcio Moreira 2. Segurança em Storage – Slide 66 Segurança em Banco de Dados e Aplicaçoes
Precauções Ø Mascaramento de LUNs: l Não confie na máscara de LUN como sua única fonte de segurança l Não use mascaramento de LUN no cliente Ø Pontos de entrada seguros: l Use somente: v. Sistemas operacionais seguros conectados ao storage v. Interfaces IP seguras nos dispositivos da rede de storage v. Gerenciamento seguro de estações, servidores e demais elementos de rede conectados à rede de storage v. Máquinas na DMZ não acessam a rede de storage (nem indiretamente) Márcio Moreira 2. Segurança em Storage – Slide 67 Segurança em Banco de Dados e Aplicaçoes
Melhorias Ø Já disponível: l Dispositivos de FC Criptografados l Autenticação: v. Baseada em certificados digitais para as fábricas: § Use de switch para switch e da HBA para o switch Ø A caminho: l Criptografia de dados em trânsito e no storage: v. Facilitará a integridade e confidencialidade: § FC-GS-4 § FCSec (Fiber Channel Security) Márcio Moreira 2. Segurança em Storage – Slide 68 Segurança em Banco de Dados e Aplicaçoes
Recomendações gerais 1 Ø Para redes estáticas, use portas por zonas ao invés de WWNs por zona Ø Use zoneamento hard ao invés de soft Ø Troque as senhas padrões dos switches Ø Não use máscara de LUN nos nós clientes Ø Gerencie os switches somente de redes seguras (rede de storage), nunca pela rede interna (rede IP) ou externa (remota) Ø Use autenticação por chaves para fazer o acesso de switch para switch Márcio Moreira 2. Segurança em Storage – Slide 69 Segurança em Banco de Dados e Aplicaçoes
Recomendações gerais 2 Ø Crie uma zona de storage para cada zona de segurança da rede IP, jamais use uma única zona na rede de storage Ø Use credenciais diferentes para administrar e manter (um para cada uma das redes) Ø Desabilite o gerenciamento na rede (SES ou FC-SNMP) Ø Desabilite os atalhos de roteamento Ø Habilite a vinculação e o bloqueio de portas Márcio Moreira 2. Segurança em Storage – Slide 70 Segurança em Banco de Dados e Aplicaçoes
Recomendações gerais 3 Ø Use ferramentas de criptografia na transmissão e no armazenamento de dados Ø Desabilite a replicação E_Port e qualquer transferência automática de Name Server Ø Reforce a segurança de todos os sistemas operacionais que conectarem à rede de storage Ø Aplique o ciclo PDCA (Plan-Do-Check-Act) para a segurança de todo o ambiente Márcio Moreira 2. Segurança em Storage – Slide 71 Segurança em Banco de Dados e Aplicaçoes
Suporte dos fabricantes Ø Chaves de autenticação entre os dispositivos de storage: l WWN, switches e interoperabilidade Ø Criptografia de dados Ø Autenticação de frames Ø Imprevisibilidade da seqüência de controle Ø Autenticação dupla na gestão de aplicações: l Uso de outro fator de segurança além da credencial padrão (usuário e senha) Márcio Moreira 2. Segurança em Storage – Slide 72 Segurança em Banco de Dados e Aplicaçoes
Melhores práticas Ø Siga as melhores práticas: l Isto evita total ou parcialmente acesso não autorizado à rede de storage e a seus dados l Além de criar mais dificuldades para o espião Ø Gerencie os riscos: l Conheça completamente sua exposição a riscos l Entenda a tolerância ao risco do seu negócio l Decida a arquitetura de segurança que será utilizada em sua rede de storage Márcio Moreira 2. Segurança em Storage – Slide 73 Segurança em Banco de Dados e Aplicaçoes
Exercício Ø Um cliente tem 3 TB de área de dados em uso em um frame de Storage que suporta 20. 000 operações de I/O por segundo. Este frame tem capacidade de 5 TB e está formatado em RAID 0. O frame está sendo compartilhado por 50 clientes. Os outros 49 clientes consomem 1. 2 TB e geram 8. 000 I/O por segundo. O cliente em questão está reclamando que o tempo de acesso às aplicações dele era de 600 ms e agora está em mais de 1. 600 ms. Antes da degradação de desempenho, esse cliente estava gerando 13. 500 I/Os por segundo. Além disto, no SLA (Service Level Agreement ou Acordo de Nível de Serviço) assinado com o cliente consta que a disponibilidade do serviço é 95% mensal das 20: 00 às 6: 00 horas e 99% diário das 6: 00 às 20: 00 horas. O direcionamento dos executivos da empresa é: cumprir o prometido para o cliente com o menor custo possível. Ø Diante deste cenário, pergunta-se: l a) O que podemos fazer na infra-estrutura para melhorar o tempo de acesso às aplicações? l b) O que devemos fazer para cumprir o SLA combinado com o cliente? l c) Quais os recursos necessários para resolver os problemas acima? Márcio Moreira 2. Segurança em Storage – Slide 74 Segurança em Banco de Dados e Aplicaçoes
Referências Ø Blair Semple. Securing Data with Strong Encryption and Access Controls. Network Appliance. Info Security. 2007. Ø Colleen Rhodes. Security Considerations for Storage Area Networks. East Carolina University. 2005. Ø EMC. Storage Basics. EMC. Jun-2006. Ø Himanshu Dwivedi. Storage Security. Back. Hat. 2003. Ø HP. Storage security. HP. 2004. Ø Luiz Claudio Rodrigues. Protegendo Suas Informações. CA. Ø Mark Friedman. Elements of SAN capacity planning. Data. Core. Ø Rahul Auradkar and Keith Hageman. Simplified Storage, Storage Directions And Trends - Simple SANs - SAN Security. Microsoft. Ø W. Curtis Preston. Storage Security - Securing Stored Data: Protecting Storage Networks and Backups. Glass. House. SWC. 2006. Márcio Moreira 2. Segurança em Storage – Slide 75 Segurança em Banco de Dados e Aplicaçoes
- Slides: 75