Shimmer

[ceth]

Shimmer é um projeto de segurança em redes bem interessante. Essa aplicação roda fazendo uma criptografia das portas TCP do computador e alterando o endereçamento delas. Com isso os varredores de rede não conseguem encontrar a porta nos micros visto que não se usa mais portas padrões em serviços como o ssh por exemplo.

Como funciona: Ao executar uma aplicação, selecionamos um range de porta que ela vai funcionar no shimmer, a aplicação e uma chave de encriptação.

Veja mais detalhes aqui.

Fonte: Noticias Linux


[]s,
ceth

[mmachado]

Acho deveras arriscado confiar a abertura de portas (geralmente administrativas) baseada na sincronicidade de horários entre o client e o server. Basta um esquecimento numa dessas mudanças de horário de verão e já era.

Seria mais interessante se o client mantivesse uma conexão com o server através de um canal criptográfico por onde pudesse ser trafegada a lista de portas ativas no momento. Mas seria mais interessante ainda se por esse próprio canal eu pudesse trafegar o serviço que me interessa.

Opa, peraí, isso já existe: VPN.

Com uma solu&#231;&#227;o de VPN eu n&#227;o preciso nem ter um servi&#231;o rodando na interface p&#250;blica do meu servidor. Fa&#231;o ele se conectar no meu servidor local de VPN, coloco o <escolha o servi&#231;o> para ouvir s&#243; na porta da interface que a VPN vai subir, que s&#243; ser&#225; acess&#237;vel atrav&#233;s do t&#250;nel criptografado. Posso usar at&#233; um telnet nesse cen&#225;rio que n&#227;o teria problemas.

[]s, MM

[Robot Bastard]

Já dizia Lavoisier: "Na natureza nada se cria, nada se perde, tudo se transforma".

RB

[rmenezes]

Acho deveras arriscado confiar a abertura de portas (geralmente administrativas) baseada na sincronicidade de hor&#225;rios entre o client e o server. Basta um esquecimento numa dessas mudan&#231;as de hor&#225;rio de ver&#227;o e j&#225; era.

Seria mais interessante se o client mantivesse uma conex&#227;o com o server atrav&#233;s de um canal criptogr&#225;fico por onde pudesse ser trafegada a lista de portas ativas no momento. Mas seria mais interessante ainda se por esse pr&#243;prio canal eu pudesse trafegar o servi&#231;o que me interessa.

Opa, pera&#237;, isso j&#225; existe: VPN.

Com uma solu&#231;&#227;o de VPN eu n&#227;o preciso nem ter um servi&#231;o rodando na interface p&#250;blica do meu servidor. Fa&#231;o ele se conectar no meu servidor local de VPN, coloco o <escolha o servi&#231;o> para ouvir s&#243; na porta da interface que a VPN vai subir, que s&#243; ser&#225; acess&#237;vel atrav&#233;s do t&#250;nel criptografado. Posso usar at&#233; um telnet nesse cen&#225;rio que n&#227;o teria problemas.

[]s, MM

MMachado,

Deixa eu te lembrar um dado comum, mais de 50&#37; das tentativas de invas&#227;o vem de dentro da rede das empresa, ent&#227;o vamos pensar, nossa, VPN, e se eu tiver usu&#225;rio da VPN e senha e quiser invadir...

Vou te explicar pra que serve o Shimmer, digamos que eu e voc&#234; trabalhamos dentro do Datacenter de um grande banco (eu j&#225; estive l&#225;, voc&#234; j&#225;?), temos um servidor Web, um servidor de aplica&#231;&#227;o Web, um servidor que trata as requisi&#231;&#245;es e um servidor de BD que &#233; o CARA da nossa rede, eu vou usar o Shimmer no servidor de requisi&#231;&#245;es e no servidor de BD. Quem tem que acessar o BD &#233; s&#243; servidor de requisi&#231;&#245;es, ningu&#233;m mais.

Pra que VPN mesmo? Quem falou que o Shimmer serve S&#211; pra internet?

Galera, vamos abrir mais a cabe&#231;a pois o cara que quer invadir com certeza est&#225; com a cabe&#231;a aberta.

Vou te falar da minha experi&#234;ncia, o *** possui em *** uma placa de criptografica no BD com o servidor de requisi&#231;&#227;o, essa placa &#233; da IBM, 64 bits de criptografia que troca a chave a cada 2 segundos, &#233; quase o mesmo conceito...

[mmachado]

Eu n&#227;o entendi a arrog&#226;ncia na sua resposta. Vamos ignor&#225;-la e debater de forma construtiva...

Quando voc&#234; fala em seguran&#231;a ao defender o Shimmer talvez voc&#234; esteja pensando em integridade e confidencialidade. Quando eu defendo a minha posi&#231;&#227;o contra o Shimmer &#233; por causa da disponibilidade.

Eu discordo da sua solu&#231;&#227;o hipot&#233;tica para o datacenter de um banco pelo seguinte motivo: n&#227;o &#233; necess&#225;rio o acesso Internet ao BD, mas apenas um acesso interno cuja origem &#233; um determinado equipamento. Concorda que, estando este servidor de requisi&#231;&#245;es comprometido, assim estar&#225; o banco de dados, estando ambos com Shimmer ou n&#227;o?

Para este cen&#225;rio, eu proporia simples regras de filtros de pacotes liberando o acesso ao banco de dados apenas do servidor de requisi&#231;&#245;es, evitando adicionar mais uma camada de complexidade &#224; solu&#231;&#227;o, o que aumentaria o risco do sistema vir abaixo.

Al&#233;m disso, nada garante que algu&#233;m na posi&#231;&#227;o de interceptar o tr&#225;fego entre o client e o server n&#227;o possa, ao notar um pacote SYN/ACK identificando aquela como a porta correta, simular um RST no client e usar esta porta para fazer o acesso indevido.

O Shimmer me parece estar mais para uma solu&#231;&#227;o de "security by obscurity" (ao contr&#225;rio de algumas implementa&#231;&#245;es de port-knocking), o que j&#225; &#233; bastante pol&#234;mico, e n&#227;o o vejo como um ganho t&#227;o alto a ponto de compensar seu risco.

[]s, MM

[Robot Bastard]

MMachado,Vou te falar da minha experi&#234;ncia, o *** possui em *** uma placa de criptografica no BD com o servidor de requisi&#231;&#227;o, essa placa &#233; da IBM, 64 bits de criptografia que troca a chave a cada 2 segundos, &#233; quase o mesmo conceito...

Onde foi parar o NDA com o ***? Cad&#234; a &#233;tica profissional? Se quer dar exemplos, ent&#227;o diga: "Em um certo banco existe a placa de criptografia..."

RB

[rmenezes]

Robot, não existe nome de máquina, não existe descrição da estrutura, não está especificado qual é ou onde é o servidor, acho que colocar um nome que você não tem nem como confirmar não influencia em nada.

[DoceApolo]

Robot, n&#227;o existe nome de m&#225;quina, n&#227;o existe descri&#231;&#227;o da estrutura, n&#227;o est&#225; especificado qual &#233; ou onde &#233; o servidor, acho que colocar um nome que voc&#234; n&#227;o tem nem como confirmar n&#227;o influencia em nada.

Concordo com o Robot! Por mais que sua hist&#243;ria pare&#231;a uma lenda urbana &#233; conveniente generalizar quando se especifica a arquitetura de um cliente!

Com estas informa&#231;&#245;es e um pouco da velha e boa engenharia social, uma pessoa mal intencionada obteria as outras informa&#231;&#245;es que vc n&#227;o citou!

Dizer “Em uma empresa em que eu trabalhei” ao inv&#233;s de ***, passaria a mesma mensagem e n&#227;o exporia o cliente! Tirando isso, &#243;tima discuss&#227;o.

Acredito que a forma como voc&#234; vai proteger seu servidor internamente seja importante. Mas se ele &#233; um servidor dedicado DB, DW ou Oracle. N&#227;o acredito que seja conveniente mant&#234;-lo no mesmo dom&#237;nio que as demais m&#225;quinas.
Sendo assim, tendo um dom&#237;nio apartado e usu&#225;rios controlados (inclusive monitorados por logs de acesso de leitura, c&#243;pia, etc), com acessos restritos para a sua fun&#231;&#227;o, o modo como o servidor vai se comunicar com o terminal, n&#227;o vai impedir um usu&#225;rio com senha de acessar o servidor indevidamente.

J&#225; o medo de ser pego cometendo crime ou fraude vai!

Ningu&#233;m em s&#227; consci&#234;ncia vai atacar o servidor internamente sendo um usu&#225;rio monitorado!

J&#225; com os insanos, quem pode com eles?

Para acessos externos VPN est&#225; de bom tamanho!

Abra&#231;os

[brunosolar]

Robot, não existe nome de máquina, não existe descrição da estrutura, não está especificado qual é ou onde é o servidor, acho que colocar um nome que você não tem nem como confirmar não influencia em nada.

Acho que o que mais influencia na sua resposta nem chega a ser e estrura da empresa e sim a falta de etica que voce teve em citar nomes...

Ex.. Suponhamos que um de nos usuarios aqui fossemos responsaveis pelo tal servidor. E de repente vemos essa declaracao de um ex funcionario, ai um dia alguem liga de uma mega empresa pra saber como voce foi quando trabalhou la, se eles recomendariam...... Bom se voce aqui falou isso, quem pode garantir que nao passou mais detalhes a outrem?

Enfim, ao me ver a questao da etica profissional foi a mais afetada.

[benone]

1) Bãh as DMZs morreram?

2) Acho que o melhor é mudar todas informações como nomes, ips, e blah blah... Para dar um exemplo mais vivído de infra e colocar uma frase tipo: Foram utilizadas informações inexistentes para preservar o sistema real.

3) E sem tomar partido: TI é que nem futebol sempre dá discussão é só não pegar pesado e ser construtivo nas críticas como comentou o mmachado.

É isso aí bruxos...