FDCC - SCAP - Overview

1. FDCC - Federal Desktop CoreConfigurationOverviewLuca Mella - lucam.ko@gmail.com - v1.11

2. FDCC Overview 1/2Non un ”Standard Desktop” ma una bensì “Standard Security Configuration”

3. Configurazioni per sistemi general-purpose collegati direttamente alla rete.

4. Basate su “Principe ofLeastPrivilege”

5. Lista vera e propria di security setting raccomandate dal NIST [National InstituteofStandards and Technologies]

6. Oltre 400 raccomandazioni:

7. Impostazioni rete, IE.

8. Robustezza password

9. Minor accesso ad account “Administrator”

10. [..]Luca Mella - lucam.ko@gmail.com - v1.12Che cos’è FDCC? Perché? Come?

11. FDCC Overview 2/2Configurazioni orientate alle Agenzie Governative, che necessitano di elevati standard di sicurezza e di valutazioni attendibili.

12. Dal 4 febbraio 2008, conformità FDCC è richiesta in tutte le agenzie governative US.

13. Applicabili solo a sistemi Microsoft Windows XP/Vista.

14. Adesione e documentazione verificabile via SCAP tools.

15. Deployment via Group Policy.Luca Mella - lucam.ko@gmail.com - v1.13Che cos’è FDCC? Perché? Come?

16. FDCC Target MachinesDestinate a XP/Vista Desktop e Laptop computer.

17. Non applicabili a:

18. macchine Windows collegate a dispositivi scentifici/biomedicali.

19. Non applicabili a versioni server di Windows XP/Vista [Windows server 2003/2008 xx]

20. Non applicabili a Macintosh e Linux

21. Questi sistemi sono comunque in stato di revisione per una futura inclusione..Luca Mella - lucam.ko@gmail.com - v1.14A quali macchine sono destinate tali configurazioni?

22. Un po’di storia.. 1/220 marzo 2007

23. OMB [Office of Management and Budget] rilascia una nota istruttoria riguardante i piani di utilizzo e le configurazioni di sicurezza per sistemi Windows Xp/Vista

24. Proposte le configurazioni di sicurezza adottate da USAF come modello preliminare.

25. NIST sviluppa (e mantiene) la linea guida di FDCC, in collaborazione con OMB, NSA, USAF DHS, DISA e Microsoft.Luca Mella - lucam.ko@gmail.com - v1.15Come è nata FDCC?

26. Un po’di storia.. 2/2Windows Vista FDCC

27. personalizzazione della guida “Security Guides for both Windows Vista and Internet Explorer 7.0” effettuata dal DoD [DepartmentofDefense]

28. Windows XP FDCC

29. personalizzazione di SSLF [SpecializedSecurity-LimitedFunctionality] del NIST:

30. Frutto della modifica alla guida Microsoft “Security Guide for Internet Explorer 7.0”Luca Mella - lucam.ko@gmail.com - v1.16Come è nata FDCC?

31. Solo Windows Xp e Vista?NIST non impone il deployment di soli sistemi Windows XP/Vista

32. Non decide prerequisiti e condizioni per le forniture.

33. Numerose “security guidance” sono disponibili per il resto dei sistemi.

34. Documentazione dettagliata frutto di NCP [National Checklist Program] è reperibili qui : http://checklists.nist.gov

35. GuidanceMachttp://web.nvd.nist.gov/view/ncp/repository/checklist/download?id=275Luca Mella - lucam.ko@gmail.com - v1.17Come è nata FDCC?

36. Ma come si può capire su rispettiamo FDCC?Esiste qualche tool per capire lo stato della nostra macchina?

37. Come funziona?

38. Perché?

39. [..]Luca Mella - lucam.ko@gmail.com - v1.18Prima di scendere nel dettaglio..

40. SCAP [Security Content Automation Protocol]Overview[Pronuncia: S-CAP]Luca Mella - lucam.ko@gmail.com - v1.19

41. SCAP Overview1/2SCAP è un set di standard atti ad alla gestione delle vulnerabilità.

42. http://scap.nist.gov/

43. Automazione, Misurazione, valutazionediconformità FDCC.

44. NVD [National Vulnerability Database], repository dicontenuti per SCAP.

45. security checklist, difetti del sw, erroridiconfigurazione, nomidiprodotti e metriched’impatto.

46. http://nvd.nist.gov/Luca Mella - lucam.ko@gmail.com - v1.110Overview

47. SCAP Overview2/2Standard aperti per:

48. Enumerare difetti di software.

49. Configurationissues.

50. Nomi di prodotti.

51. Individuazione e misura di vulnerabilità.

52. Report per valutare l’impatto di un attacco e la possibilità di un attacco.Luca Mella - lucam.ko@gmail.com - v1.111Overview

53. SCAP Componenti 1/2Enumerazioni

54. Common Vulnerabilities and Exposures (CVE)

55. Common Configuration Enumeration (CCE)

56. Common Platform Enumeration (CPE)

57. Metriche

58. Common Vulnerability Scoring System (CVSS)

59. Linguaggi

60. Extensible Configuration Checklist Description Format (XCCDF)

61. Open Vulnerability and Assessment Language (OVAL)Luca Mella - lucam.ko@gmail.com - v1.112Standard aperti

62. SCAP Componenti 2/2Luca Mella - lucam.ko@gmail.com - v1.113InterpolazioneSoftware Flaw ManagementCVEOVALCVSSAssetManagementConfigurationManagementSCAPCCECPEXCCDFCompliance Management

63. Common Vulnerabilities and Exposures (CVE)Dizionariodiinformazioniriguardo a vulnerabilitàedesposizione a vulnerabilità.

64. UNnome standard.

65. UNAdescrizione standard.

66. Database e tool eterogeneidevono “parlare” la stessa lingua.

67. Natonel 1999

68. tool differentichiamavano diverse vulnerabilità con stessonome.

69. “CVE-Compatibility” rilasciataaiswdopo opportune valutazioni.

70. Sito ufficiale: http://cve.mitre.org/Luca Mella - lucam.ko@gmail.com - v1.114Dictionary of security related software flaws

71. Common ConfigurationEnumeration (CCE)Identificatori univoci per problemi di configurazione.

72. “CCE-Id” per associare esiti di controlli con istruzioni pubblicate in documenti “best-pratice”.

73. Maggiore interpolabilità

74. Facilita la raccolta di metriche nei processi di security audit.

75. Agile correlazione dei dati.

76. CCE-Id sono utilizzati nelle impostazioni specificate in FDCC.

77. Sito ufficiale: http://cce.mitre.org/about/index.htmlLuca Mella - lucam.ko@gmail.com - v1.115Dictionary of software misconfigurations

78. Common PlatformEnumeration (CPE) 1/2Naming-scheme strutturato per sistemi informatici, piattaforme e pacchetti.

79. Formalizzazione, consistenza, uniformità.

80. Sintassi URI [UniformResourceIdentifier]

81. cpe:/<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>

82. Sito ufficiale http://cpe.mitre.org/about/index.html

83. Specifiche http://cpe.mitre.org/specification/index.htmlLuca Mella - lucam.ko@gmail.com - v1.116Standard nomenclature and dictionary for product naming

84. Common PlatformEnumeration (CPE) 2/2Luca Mella - lucam.ko@gmail.com - v1.117Struttura

85. Common Vulnerability Scoring System (CVSS) 1/3Open Frameworkper comunicare caratteristiche ed impatti delle vulnerabilità.

86. Definire priorità e coordinare risposte alle vulnerabilità.

87. 3 gruppi di metriche per le vulnerabilità:

88. proprietà di base

89. proprietà temporali

90. proprietà ambientali

91. Ogni gruppo consiste in un set di metriche.

92. Sito ufficiale: http://www.first.org/cvss/cvss-guide.htmlLuca Mella - lucam.ko@gmail.com - v1.118Standard for scoring the impact of vulnerabilities

93. Common Vulnerability Scoring System (CVSS) 2/3Luca Mella - lucam.ko@gmail.com - v1.119Metrics

94. Common Vulnerability Scoring System (CVSS) 3/3Vengono calcolati punteggi base da 0 a 10.

95. Il vettore dei punteggi base può essere raffinato attraverso altre metriche.

96. Base e temporalscores sono specificati da bollettini dei produttori o di analisti, Enviromentalscores sono definiti dall’utente.

97. Score calculator : http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2Luca Mella - lucam.ko@gmail.com - v1.120How does it works?

98. Extensible Configuration Checklist Description Format (XCCDF) 1/2Linguaggio XML-based

99. scritturadi checklist diconfigurazioni e patch.

100. DocumentiXCCDFrappresentano:

101. Insiemestrutturatodiregole.

102. Configurazioni per sistemi.

103. Automatizzazione test diconformità.

104. Progettato per supportarel’integrazionedipiùchecking engines.Luca Mella - lucam.ko@gmail.com - v1.121Standard XML for specifying checklists

105. Extensible Configuration Checklist Description Format (XCCDF) 2/2Report: human-readable, riguardoconformità. Include punteggioe Pass/Fail dei benchmark.

106. Result: machine-readable, riguardo a conformità, per long term tracking

107. FixScript: machine-readable , script per rimediarealleinconformità.Luca Mella - lucam.ko@gmail.com - v1.122

108. Open Vulnerability and Assessment Language (OVAL) 1/2Standardizza il modo di valutare e riferire sullo stato di un sistema.

109. 3 principali fasi del processo di valutazione:

110. Rappresentazione delle informazioni.

111. Analisi del sistema per la presenza di stati macchina specificati (vulnerabilità, configurazioni, stato patch ..)

112. Reporting.

113. 3 schemi XML-based fungono da dizionario e da framework:

114. System Characteristics schema, per informazioni di sistema.

115. Definitions schema, per esprimere uno specifico stato macchina.

116. Results schema, per reporting.

117. Repository mantenuti dalla comunità.Luca Mella - lucam.ko@gmail.com - v1.123Standard XML for checking machine state

118. Open Vulnerability and Assessment Language (OVAL) 2/2Luca Mella - lucam.ko@gmail.com - v1.124Example “Hello World”

119. OVAL e XCCDFLuca Mella - lucam.ko@gmail.com - v1.125Chiarimento - Scope deilinguaggiSupporto alla personalizzazione delle “security guidance”PlatformindipendentColleziona, struttura, organizza “security guidance”Valuta la conformitàDefinizione di test per verificare conformitàPlatformdependentTest “system-specific” dello stato del sistemaCaratterizzazione stati di sistema (low-level).

120. SCAP CapabilitiesFederal Desktop Core Configuration (FDCC) Scanner

121. Authenticated Configuration Scanner

122. Authenticated Vulnerability [and Patch] Scanner

123. Unauthenticated Vulnerability Scanner

124. Intrusion Detection and Prevention

125. Patch Remediation

126. Mis-configuration Remediation

127. [..]Luca Mella - lucam.ko@gmail.com - v1.126Principaliutilizzidi SCAP

128. SCAP ProductsSCAP è destinato ad effettuare misurazioni e monitoraggio delle configurazioni di sicurezza

129. Le versioni future punteranno a standardizzare ed automatizzare il deployment e la modifica delle security settings.

130. Lista dei prodotti validati : http://nvd.nist.gov/scapproducts.cfm (sonopresentianche FDCC scanner)Luca Mella - lucam.ko@gmail.com - v1.127Implementazionedi SCAP

131. FDCC - Federal Desktop CoreConfigurationConfigurazioni PrincipaliLuca Mella - lucam.ko@gmail.com - v1.128

132. FDCC – LoginCTRL+ALT+DEL richiesto.

133. Lock della postazione in caso di rimozione smart card.

134. Ultimo username non più salvato nella schermata di logon.

135. Caching in locale di massimo 2 profili utente.

136. Disabilitazione Account “Administrator” [Vista] e “Guest”.

137. Renaming di “Administrator” e “Guest”.

138. Account lockoutthreshold: 5 tentativiProfilo bloccato per 15 minutiDefault: 0Disabilitazione di “run once list”.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceNon vengono eseguite applicazioni specificate dall’utente in tale lista, ignorate dal sistema.Luca Mella - lucam.ko@gmail.com - v1.129Login

139. FDCC - ActiveXImpedita installazione di controlli con firma non valida.

140. Amministratore può firmare i controlli (AD)

141. Impossibilità di scaricare controlli ActiveX (firmati e non) da fuori dall’intranet.

142. Blocco delle installazioni di controlli ActiveX direttamente da IE [XP]

143. Vista utilizza ActiveXInstaller Service [AxIS], che permette il download e l’installazione di controlli da siti fidati impostati via Group Policy.Luca Mella - lucam.ko@gmail.com - v1.130ActiveX

144. FDCC – PasswordCambio Password ogni 60 giorni

145. ComplexityRequirements

146. Lunghezza minima: 12 caratteri.

147. Non deve contenere il nome utente.

148. Deve contenere [A-Z],[a-z],[0-9] e caratteri speciali.

149. Differenza da vecchie password.

150. Password history

151. Ricordate 24 old password.

152. Occorre password non vuota perché un account possa essere utilizzato per autenticazione in servizi di rete (TS,Telnet,FTP..)Luca Mella - lucam.ko@gmail.com - v1.131Rafforzamento password

153. FDCC - ADEncrypt or sign secure channel data (always)Comunicazioni con Domain Controller semprecrittate o firmate.Require strong (Windows 2000 or later) session keyNon collegarti a DC che non possonooffrirecrittografia forte (min 128bit).Luca Mella - lucam.ko@gmail.com - v1.132Domain member

154. FDCC – Networking 1/7Disable IP Source Routing.

155. IP source routing è un meccanismochepermetteal mittente di determinare il percorso del datagramma IP che assumerà attraverso la rete.

156. Instradamento non frequente nelle reti IP in quanto permette all'utente di scegliere le rotte piuttosto che affidarsi al routing dinamico.

157. E’ possibile effettuare un attacco di “IP spoofing”, in cui si ricevono anche i pacchetti di risposta [man in the middle]Luca Mella - lucam.ko@gmail.com - v1.133Level 3 – Source Routing

158. FDCC – Networking 2/7Luca Mella - lucam.ko@gmail.com - v1.134Level 3 – Source Routing - Scenario10.27.1.7Packetform 10.1.0.2to 10.1.0.110.1.0.5010.2.1.110.1.0.210.1.0.210.1.0.1

159. FDCC – Networking 3/7Deny ICMP redirects to override OSPF generated routes.

160. The Redirect Message is an ICMP message (type 5) which informs a host to update its routing information (to send packets on an alternate route).

161. Properly constructed ICMP packet that passes all sanity checks (it must come from the default router for the destination it's redirecting, new router should be on a directly connected network, etc.) it causes a host-route entry be added to the system routing table.

162. Default: Enabled [XP]Luca Mella - lucam.ko@gmail.com - v1.135Level 3 – ICMP redirects

163. FDCC – Networking 4/7Luca Mella - lucam.ko@gmail.com - v1.1362) Pktfrom A to B, afterreciving the icmp_rpkt.Level 3 – ICMP redirects - Scenario[Gateway di User A]DoS1) Spoofedicmp_rpkt:Passa da Router C (oppure D) per arrivare a User B

164. FDCC – Networking 5/7Disallow IRDP [Internet Router Discovery Protocol] to detect and configure DefaultGateway addresses (could lead to DoS)

165. basically consists of 2 ICMP Message-Types:

166. 9 - Router Advertisement (in risposta)

167. 10 - Router Solicitation (inviatodal client)

168. When a client receives a message type 9, they are adding the router to their local routing-table.

169. By spoofing IRDP Router Advertisements, an attacker can remotely add default route entries.

170. Effettipossibili:

171. DoS by changing the default gateway to something invalid

172. Sniffing and/or MITM attacks if changing the gateway to a router under the attacker's control.

173. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-0875Luca Mella - lucam.ko@gmail.com - v1.137Level 3 - IRDP

174. FDCC – Networking 6/7Syn attack protection level (protects against DoS)

175. The connection responses time-out more quickly in the event of a connect request (SYN) attack.

176. SYN Flood Attack [DoS]

177. Using a spoofed IP address not in use on the Internet, an attacker sends multiple SYN packets to the target machine.

178. For each SYN packet received, the target machine allocates resources and sends (SYN-ACK) to the source IP address.

179. Because the target machine doesn't receive a response from the attacking machine, it attempts to resend the SYN-ACK five times, at 3-, 6-, 12-, 24-, and 48-second intervals before unallocating the resources.

180. Pacchettidatiritrasmessi per 3 volte in mancanzadi ACK [TCP]

181. Default 5 Luca Mella - lucam.ko@gmail.com - v1.138Level 3 – SYN attack

182. FDCC – Networking 7/7Do not store LAN Manager hash value.LAN Manager is prevented from storing hash values for the new password. It is important to enable this setting since the LAN Manager Hash is a prime target of many hackers.LM Hashes sono password cifrate in malomodo, senzasalt ad esempio.Rainbow tablesottimizzano tempi di cracking per hash non salted (space-time tradeoff).Luca Mella - lucam.ko@gmail.com - v1.139LMHash

183. FDCC - AdministrationDisallowautomaticadministrativelogonusingRecovery Console.

184. Driver non firmati sono stati vietati.

185. Administrators can sign drivers.

186. User Account Control abilitato [Vista] 

187. Richiedecredenziali, non più solo conferma.

188. Privilegi di amministrazione rimossi

189. installazioni sw solo da “Administrator”.

190. ..Luca Mella - lucam.ko@gmail.com - v1.140Administration

191. FDCC - ACLsat.exe

192. Pianifica l’esecuzione di comandi

193. Regedit.exe

194. arp.exe, debug.exe

195. route.exe

196. Per visualizzazione e modifica tabelle di routing

197. Net.exe

198. Will impact orgs that use logon scripts

199. [..]Luca Mella - lucam.ko@gmail.com - v1.141Esecuzione revocata agli utenti..

200. FDCC – Services 1/2Disable Universal Plug and Play Device Host

201. UPnP != PnP

202. Set ofnetworkingprotocolthataimstocrate a p2p network betweenpc and network peripherals.

203. Many UPnP device implementations lack authentication mechanisms.

204. Flash programs are capable of generating a specific type of HTTP request. This allows a router implementing the UPnP protocol to be controlled by a malicious web site when someone with a UPnP-enabled router simply visits that web site.

205. Wireless Zero Configuration / WLAN AutoConfig

206. Dynamically selects a wireless network to connect to.Luca Mella - lucam.ko@gmail.com - v1.142Alcuni servizi disabilitati

207. FDCC – Services 2/2Messenger

208. Servizio per l’invio/ricezione di messaggi ad host (solitamente in LAN)

209. Es: net send {IP address/computer name/* (broadcast)}{message}

210. NetMeeting Remote Desktop Sharing

211. Makes it possible for a remote user with NetMeeting to access your computer.

212. FTP Publishing Service

213. Indexing Service

214. SSDP Discovery Service

215. detection of Universal Plug and Play (UPnP) devices on network.

216. [..]Luca Mella - lucam.ko@gmail.com - v1.143Alcuni servizi disabilitati

217. FDCC – ConfigurazioniIl resto delle configurazioni elencate in dettaglio sono reperibili qui : http://nvd.nist.gov/fdcc/FDCC-Settings-major-version-1.2.x.0.xlsLuca Mella - lucam.ko@gmail.com - v1.144Ma.. solo queste?

218. FDCC - Federal Desktop CoreConfigurationDeploymentLuca Mella - lucam.ko@gmail.com - v1.145

219. FDCC – DeploymentActive Directory GPOs

220. Deployment centralizzato.

221. Rafforzamento delle policy di dominio.

222. http://www.microsoft.com/industry/government/federal/fdccdeployment.mspx

223. Soluzioni Commerciali per deployment e audit.

224. LocalGPOs

225. Standalone workstation.

226. No domino AD.

227. Tool per deployment.Luca Mella - lucam.ko@gmail.com - v1.146Come è possibile applicare FDCC?

228. GPOs – CenniSet of rules which control the working environment of user accounts and computer accounts.

229. Group Policy settings are enforced voluntarily by the targeted applications.

230. Attacker can modify or interfere with the application so that it cannot successfully read its Group Policy settings, thus enforcing potentially lower security defaults or even returning arbitrary values.

231. In many cases, this merely consists of disabling the user interface for a particular function, without disabling lower-level means of accessing it.

232. Group Policy client operates on a "pull" model (AD)

233. Every 90-120min it will collect the list of GPOs appropriate to the machine and logged on user.

234. then apply GPOs, this might change the behavior of policy-enabled oscompoments.

235. Local Group Policy (LGP)

236. Can configure the Group Policy for a single local computer.

237. Can not make policies for individual users or groups (XP).

238. Multiple Local Group Policy objects (MLGPO)

239. allows setting local Group Policy for individual users (VISTA).Luca Mella - lucam.ko@gmail.com - v1.147Group Policy Objects

240. FDCC – Deployment LGP 1/3E’disponibile un comodo tool per deploy LGP.

241. Blog su MS technet: http://blogs.technet.com/fdcc/archive/tags/FDCC/default.aspx

242. Eseguibili: http://blogs.technet.com/fdcc/attachment/3051648.ashx

243. Sorgenti: http://blogs.technet.com/fdcc/attachment/3306001.ashxLuca Mella - lucam.ko@gmail.com - v1.148Installazione FDCC su macchina standalone

244. FDCC – Deployment LGP 2/3Aprire la shell nella cartella dei tools

245. Lanciare il comando:

246. Set_FDCC_LGPO.exe [/log LogFile] [/errorErrorLogFile] [/boot]

247. Per settare le configurazioni registry-based.

248. Set_FDCC_LGPO.exe [/Sec] [/log LogFile] [/errorErrorLogFile] [/boot]

249. Per settare anche le security policy.Luca Mella - lucam.ko@gmail.com - v1.149Howto

250. FDCC – Deployment LGP 3/3Luca Mella - lucam.ko@gmail.com - v1.150Deployng..

251. FDCC - Federal Desktop CoreConfigurationConfomityAssessment via SCAP ToolsLuca Mella - lucam.ko@gmail.com - v1.151

252. AssessmentToolsNumerosi prodotti permettono di verificare la conformità a FDCC (e non solo..)

253. Quasi tutti a pagamento…

254. http://nvd.nist.gov/scapproducts.cfm

255. Secutor Prime di ThreatGuardè disponibile in versione free!

256. http://www.threatguard.com/downloads.htmLuca Mella - lucam.ko@gmail.com - v1.152Come verificare?

257. XP Professional Prima di FDCC 1/3Luca Mella - lucam.ko@gmail.com - v1.153

260. XP Professional dopo FDCCLuca Mella - lucam.ko@gmail.com - v1.156

261. Risultati..Luca Mella - lucam.ko@gmail.com - v1.157Prima di FDCC:Compliance 46%Dopo FDCC (solo registry-based)Compliance 68%Dopo FDCC( /SEC )Compliance 96%

262. Questions..?Luca Mella - lucam.ko@gmail.com - v1.158

FDCC - SCAP - Overview

More Related Content

Similar to FDCC - SCAP - Overview (20)

More from Ce.Se.N.A. Security (20)

FDCC - SCAP - Overview