Implantacin de mecanismos de seguridad activa
Implantacin de mecanismos de seguridad activaAgustn Jimnez
GuerraAtaques al sistemaPasivosNo producen cambios se limitan a
extraer la informacinEl afectado no se suele enterarActivosProducen
cambios en el sistemaAtaques al sistemaReconocimiento de
sistemasAprovechamiento de vulnerabilidades del sistemaRobo de
informacin por interceptacin de mensajesSuplantacin de
identidadModificacin del trfico y las tablas de
enrutamientoCross-site ScriptingInyeccin de cdigo SQLContra
usuarios y contraseasReconocimiento de sistemaNo provocan daos en
el sistema (objetivo: obtencin de informacin del sistema)Escaneo de
puertos Servicios que ofrece el equipoPuertos y aplicaciones que se
estn ejecutandolDatos a partir de una ip o URLwhoisAprovechamiento
de vulnerabilidadesLos exploits son programas que se disean para
aprovechar alguna vulnerabilidadrdenes del SO y cdigo (C,
Javascript) para causar un mal funcionamiento
Interceptacin de mensajesRobo de informacin por interceptacin de
mensajesNo se puede evitar (internet es una red pblica)Hay que
interpretar lo que se interceptaCorreo electrnico (no tiene
garantas de privacidad)Encriptar (PGP, S\MIME Encriptan el
contenido y no los encabezados de los mensajes)Los servidores de
correo guardan copia de todo los mensajesSuplantacin de identidadSe
enmascaran las direcciones IP (IP Spoofing)Se produce una traduccin
falsa de los servidores DNS (DNS Spoofing)Se produce el envo de
mensajes con remitentes falsos (SMTP Spoofing)Se capturan nombres
de usuario o contraseas
Suplantacin de identidadSe enmascaran las direcciones IP (IP
Spoofing)Se sustituye la IP origen de un paquete TCP/IP por otra IP
(con nmap pe)root@linux-vbox:/home/tomas# nmap -e eth0 -S 10.0.2.3
10.0.2.15Se produce una traduccin falsa de los servidores DNS (DNS
Spoofing)Se falsea la IP en una consulta DNSSe asigna una IP falsa
a un nombre DNS o viceversaEl atacante consigue llevar a la vctima
a la direccin no deseadaEttercapEditar el archivoetter.dnsque se
encuentra en/usr/share/ettercap/Se aade la URL que se ver en la IP
destino:www.infoalisal.comA IP destino.Se ejecuta ettercap:ettercap
T q i eth0 P dns_spoof M arp // //Parmetros utilizados:-T text
mode
Suplantacin de identidadSe produce el envo de mensajes con
remitentes falsos (SMTP Spoofing)Se falsifica el origen de los
mensajes (cualquier servidor de correo que acepta conexiones en el
puerto 25)Alguien puede enviar correos desde una cuenta ajenaUno de
los indicios: Recibir correos que parece que vienen de uno
mismoPuede producirse tambin cuando alguien accede a las cuentas de
correo y a los correos como su fuera el dueoSe puede enviar correo
simulando ser otro usuario:Conectarse mediantetelnetpor el puerto
25, al servidor de correo donde est alojada una cuenta
legtima.telnet correo.dominio 25MAIL FROM:[email protected] (cuenta
que puede ser inventada)RCPT TO:[email protected]
(cuenta legitima donde poder
verificar)DATATO:[email protected]:[email protected]
esto es una prueba desde una cuenta que no existeAdisSi las
direcciones son parecidas a direcciones reales el engao es ms
difcil de ver
Suplantacin de identidadSe capturan nombres de usuario o
contraseasRobo de usuarios y contraseasPhising: Enviar un correo
electrnico desde una URL muy parecida a la real, requiriendo clave
bancaria o nmero de la cuentaConocer los datos bancarios o tarjetas
de crdito
Modificacin del trfico y de las tablas de enrutamientoVaran la
ruta de los paquetes en la redInterferir en protocolos de rutas
predeterminadas, o tablas de enrutamientoMtodosEnvo de paquetes
ICMP Redirect (lo usan los routers para indicar que hay otras rutas
alternativas sin pasar por l)Ataque man in the middleEl atacante
intercepta mensaje entre dos vctimas sin que estas se enteren
(utilizar encriptacin)Pueden ser interceptacin de comunicacin,
ataques de sustitucin, ataques de repeticin, ataques de denegacin
de servicioDeshabilitar paquetes ICMP Redirec en los
routers/etc/sysctl.conf:net.ipv4.conf.all.accept_redirects = 02.
Tambin
en:root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/accept_redirectsroot@linux-vbox:/proc/sys/net/ipv4/conf/eth0/secure_redirects3.
En algunosrouterscon la siguiente lnea de rdenes:router(config)#
interface E0router(config-if)#no ip redirectsPara poder enviar
mensajes ICMPRedirectse puede emplear la herramientahping. Esta
herramienta tiene muchos parmetros que se pueden consultar con la
ayuda en lnea.root@linux-vbox:/# hping2 hLa siguiente sentencia
ejecutada en unashellde Linux:root@linux-vbox:/# hping -I eth0 -C 5
-K 1 -a 192.168.1.3 --icmp-ipdst 195.235.113.3 --icmp-gw
192.168.1.254 192.168.1.5
Cross-site scriptingSe ejecutan scripts (Javascript, VBScript)
en pginas webSobre todo en cadenas de texto de formularios entre
pginas web dinmicas Esto solo saca un mensaje pero podra ser algo
maliciosoLos scripts se pueden esconder detrs de fotos (al
mostrarla)
cross-site
Holaesta pgina contiene un script que os saluda.alert('Hola mi
nombre es Toms Fernndez Escudero')
Inyeccin de cdigo SQLEn aplicaciones con SQL sobre BDIntroducir
cdigo SQL dentro de cdigo legtimo para alterar el funcionamiento de
la aplicacinconsulta := "SELECT * FROM usuarios WHERE nombre = '" +
nombreUsuario + "';Alicia SELECT * FROM usuarios WHERE nombre =
'Alicia';Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE
nombre LIKE '% SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP
TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE %;En Ruby,
Perl, PHP, Java, C#, Inyeccin de cdigo SQLEn aplicaciones con SQL
sobre
BDPHP$usuario=$_POST['usuario'];$password=$_POST['password'];
Estas variables son utilizadas dentro de una sentencia SQL que
realiza una bsqueda en una tabla denominada usuarios.$sql="SELECT *
FROM usuarios WHERE usuario='$usuario' AND
password='$password'";$result=mysql_query($sql);
Existe un agujero de seguridad en este cdigo si se introducen
como valores del campo usuario y el campo password:' OR '1'='1.La
expresin de SQL quedara de la siguiente manera:"SELECT * FROM
Usuarios WHERE Usuario = ' ' or '1'='1' AND password = ' ' or
'1'='1'"
La expresin se evala como cierta, la variable$sqlse llenar con
un usuario con privilegios de conexin y accederemos sin problemas
al sistema.
Ataques contra usuarios y contraseasEncontrar contraseas para
acceder a sistemasFuerza brutaUtiliza todas las combinaciones
posibles hasta encontrar la correctaHay muchas herramientas para
descubrir claves de acceso (a redes inalmbricas, )DiccionarioPrueba
todas las combinaciones posibles de un diccionarioLinux:
Herramienta Medusaroot@linux-vbox:/# aptitude install
medusaroot@linux-vbox:/# medusa -h 127.0.0.1 -u tomas -P
pasaporte.txt -M ssh -fBusca las contraseas posibles para el
usuario tomas de localhost (pasaporte: archivo de texto, el
diccionario)xito en funcin del diccionario: Hay para WEP, WPA,
router, servidores, )
Ataques contra usuarios y contraseas
Anatomia de ataques y anlisis de software maliciosoSaber como se
estructura un ataque para poder
defendernosFasesReconocimientoRecopilar informacin, ingeniera
social, internet,ExploracinEscaneo del sistema, sniffers, escaneo
de puertos, debilidades del sistema, direccin ip, nombres dns,
puertos abiertos, aplicaciones ms usadasAccesoAcceder al sistema
despus de haber robado o crackeado las clavesMantenimiento del
accesoConseguir entrar ms veces, cambiar privilegios, crear nuevas
vulnerabilidades, backdoors, Borrado de huellasBorrar rastros en
los accesos no permitidos, ficheros de logs, alarmas del
sistemaAnlisis de software maliciosoHerramientas de software para
contrarrestar ataquesHacerlo en entornos aisladosCajas de arena o
sandbox (no se ve influenciado por el exterior)Anlisis
estticoAnalizar el cdigo lnea a lnea y determinar si son maliciosas
(sin ejecutar el cdigo), complejo, personal muy cualificadoAnlisis
dinmicoMs rpido. Se ejecuta el malware en un entorno que parece el
real y se analizan las consecuencias de su ejecucinHerramientas
preventivasEvitar que el malware se instale en el
sistemaAntivirusCortafuegosEncriptacin de la informacinHerramientas
de deteccin de intrusosUtilizacin segura de entornos
vulnerablesAntivirusVirus afectan a todos los SOInstalar ClamAV en
Linux root@linux-vbox:/home/tomas# apt-get install
clamavroot@linux-vbox:/home/tomas# apt-get install
klamavroot@linux-vbox:/home/tomas# apt-get install
clamatkCortafuegosSe configuran en funcin del usuarioCuanto ms
aplicaciones permitan, ms peligro
EncriptacinPrevenir posibles daos en archivosEvitar que sean
ledosLinux seahorse, GnuPGPasosGenerar las clavesCifrar la
informacin con las claves
Deteccin de intrusosSaber si hay intrusos en el
sistemaHerramientas IDS (Intrusion Detection System)Se analiza el
trfico en la redSistemas de deteccin de intrusosHost IDS o HIDS:
Detectar intrusos en los hostsNetwork IDS: Detectar intrusos en la
redHerramienta snortDeteccin de intrusosHerramienta snort
Precauciones en entornos de riesgoPrecauciones en correo
electrnico, redes sociales, mensajera, compras por InternetEvitar
el reenvo de mensajes de emailPuede caer todas las direcciones de
la agenda en manos no adecuadas, spam, phising, (no usar cadenas de
reenvo)Varios destinatarios: ccoUtilizar contraseas fuertes en
redes socialesMucha informacin del usuario, acceso a la cuenta si
contrasea dbil (8 caracteres, n, letras, may, min)Precaucin con las
formas de pago en las compras en InternetQue se conozca al
vendedor, pagar se enviar datos bancarios, contrareembolso,
paypal,
Herramientas paliativasEvitar los daos producidos por el
malwareCopias de seguridad (backup, respaldo)HerramientasRsyn
(linux - windows)Acronis true imageCloud ComputingEmpresas con CPD
accesibles por InternetDropbox, Windows Live Mesh, SugarSync,
Windows Live Skydrive, icloudGuardar archivos en carpetas (pblicas
o privadas)Actualizacin de sistemas y aplicacionesPreventiva y
paliativa (prevenir daos informticos)Solucionar fallos de seguridad
en los SO, SIAadir nuevas funcionalidadesWindows: Agregar y quitar
programasSeguridad en la conexin con redes pblicasEl uso de redes
pblicas y la comparticin de informacin Problemas de seguridadNo
conectarse a la red pblica (slo problemas internos) Se pierden
muchas funcionalidadesMecanismos para trabajar de manera segura en
redes pblicasConexiones inalmbricas cifradas (WPA2, WPA,
WEP)Conexiones SSHUtilizacin de VPNUtilizacin de HTTPS en la
navegacinUtilizacin de mecanismos de identificacin digitalTodo
tiene agujeros de seguridad, todo lo que viaja por la red puede ser
interceptadoIdentificacin digitalAsegura la autentificacin,
confidenciabilidad y la integridad de las comunicaciones por
InternetMtodosContraseas Identifican al usuario con unos
caracteresTarjetas de identificacinUtilizan chips para almacenar
informacin del individuoSistemas biomtricosUtilizan rasgos fsicos
para identificar al usuario (nico)Certificados digitalesEmplean
informacin del los usuarios para generar un software que los
identifique, representndolo en las transacciones electrnicasLa
identificacin digital no existe: Se crea y se asocia al
usuarioFirma electrnica y certificado digitalSon las soluciones ms
fiables al problema de la identificacin digitalCada una de las
partes que intervienen en la comunicacin son quienes dicen
serRecoger un paquete, sacar dinero banco, pagar con la tarjeta,
Firma y certificado digital para verificar la identidad sin
contacto visualFirma electrnica y certificado digitalFirma
digitalSecuencia de caracteres que tiene funciones similares a las
de la firma personal (n nico que identifica a una persona)Utiliza
criptografa de clave pblica o asimtricaFirma electrnicaFirma
digital que se ha almacenado en un soporte de hardware Firma
digital se puede almacenar tanto en hardware como en software
Certificado digitalArchivo que contiene los datos del
propietario, su clave pblica, y la firma digital de una entidad con
competencias para expedir dicho certificado (FNMT en Espaa)Entidad:
Verifica que los datos corresponden al propietario del
certificadoEst firmado digitalmente por una entidad certificado que
certific la identidad del individuo que solicit el
certificadoCertificado digitalSimilar al DNI pero para
comunicaciones en Internet
Certificado digitalFirma digitalEs segura siempre que la clave
privada empleada para cifrar solamente la conozca su dueoLa clave
pblica que el receptor necesita para descrifrar el mensaje la
extrae del certificado digital del emisorPublicidad y correo no
deseadoSpamPublicidad enviada a destinatarios que no la desean
Direcciones obtenidas de InternetNegativo:Utiliza los servidores de
correo SMTP para procesar los mensajesConsume tiempo y recursos
CPUUtiliza espacio de disco del servidor y de los usuarios que
reciben el correoDisminuye el BW de la redAumenta la posibilidad de
infeccin con virus y troyanosPublicidad y correo no deseadoLos
spammers necesitan direcciones de correo para realizar el envo
masivoGenerar direcciones de correo pertenecientes a un determinado
dominio de manera aleatoria, por fuerza bruta o por
diccionarioComprar BD de usuariosAcceder a listas de correos de
usuariosEmplear tcnicas de ingeniera socialPublicidad y correo no
deseadoMtodo para enviar el correo masivoEnvos director desde
servidores alquiladosRetransmisin a travs de servidores accesibles
desde el exteriorUtilizacin de redes zombieMs rentable, difcil de
detectar, ilegalHay un alto porcentaje de correo basuraxito muy
bajo (0,001%)Bajsimo coste Produce beneficiosElaboracin de un
manual de seguridad y planes de contingenciaManual de
seguridadObjetivo: Establecer los estndares de seguridad que deben
ser seguidos, suministrar un conjunto de normas que determinen como
se debe actuar para evitar problemasPlanes de contingenciaRecuperar
a la organizacin de los desastres sufridosManual de seguridadFormar
un equipo integrado por personas de diferentes departamentos de la
organizacinDistintos perfiles representadosElaborar el documentoLos
factores humanosLos factores tecnolgicosLa legislacin vigenteLos
criterios que determinan la responsabilidad de cada usuarioLos
criterios de actuacinPublicar de manera oficial el manualAprobar
por los responsablesComunicar a usuarios (dejando constancia)Plan
de contingencias: Debe tenerAnlisis riesgos del sistemaQu se debe
proteger?, Qu puede ir mal?, Con qu frecuencia?, Cules pueden ser
las consecuencias?Estudio protecciones actualesEnumerar cuales son
y verificar que funcionanUn plan de recuperacin, antes, durante y
despus del desastreOrigen del fallo, dao ocasionadoPlan de respaldo
(antes)Plan de emergencia (durante)Plan de recuperacin (despus)Los
procedimientos del plan de contingencias deben ser cumplidos tal y
como se especificanPautas y prcticas segurasUn sistema informtico
es seguro si se utiliza de manera segura Planes diseados y en usoNo
realizar prcticas de riesgoEl personal de la organizacin es el
eslabn ms dbilMantener actualizado el SO y las
aplicacionesDescargar software de sitios de confianza Analizar los
SI de manera peridica para mantenerlos libres de malwareUsar
contraseas fuertesUsar certificados digitalesComunicar las
incidenciasRealizar copias de seguridadPautas y prcticas segurasEl
software de seguridad no es 100% seguroPensar que algn equipo no
debe protegerse porque no almacena nada importanteCreer que los
ataques informticos solo lo sufren personas y organizaciones
importantesUn antivirus no protege totalmente al equipo
(actualizarlo)El xito de los atacantes es directamente proporcional
a la confianza de los atacados e inversamente proporcional a la
rapidez de la respuesta de la vctimaSeguridad en la red
corporativaRed de una corporacin que comunica lugares
geogrficamente distantes, que facilita el acceso remoto de
usuariosInterconexiones de redes LAN Pueden existir distintas
tecnologas (cable e inalmbricas)Se utilizan lneas pblicas
mecanismos de seguridad (VPN)
Monitorizacin del trfico en redesSirve para detectar problemas
en su funcionamientoSniffersWireshark, Etherape, WinDump, Fing,
AthTek NetWalk, Network Traffic Monitor ExpertsMuestran demasiada
informacin Usar filtrosFiltros de captura: Paquetes que cumplan
unas condicionesFiltros de visualizacin: Informacin deseada despus
de un anlisisLo ms til capturar todo el trfico y despus utilizar
filtros de visualizacin para analizar slo lo que nos
intereseCapturar todos los paquetes con origen y destino en
192.168.1.1: host 192.168.1.1Capturar todos los paquetes con puerto
origen y destino 21: port 21Capturar todos los paquetes con puerto
origen 21: src port 21Capturar todos los paquetes con origen en
192.168.1.1: src host 192.168.1.1Capturar todos los paquetes con
destino en 192.168.1.254: dst host 192.168.1.254Capturar todos los
paquetes con origen y destino en www.ieselrincon.org: host
www.ieselrincon.org
Seguridad en los protocolos de comunicaciones
inalmbricasCualquier nodo de la red puede recibir informacin de
otro nodo que est a su alcancePodemos acceder a una red inalmbrica
desde fuera del edificio si hay alcanceHay que configurar bien los
puntos de acceso (agujero de seguridad)MejorasConfigurar, en la
medida de lo posible, las ondas utilizadas en la transmisinUtilizar
mecanismos de autentificacin red-clienteCifrar la informacin
transmitidaOpciones de los dispositivos de conexin inalmbrica
(seguridad)Filtrado de direcciones MACAlgoritmo WEPVPNEstndar
802.1x y servidores RADIUSWPAPortal cautivoOpciones de los
dispositivos de conexin inalmbrica (seguridad)Filtrado de
direcciones MACComplicado en redes grandes (editar cada MAC)No
vlido si cambian los equiposLas direcciones MAC viajan sin
encriptarAlgoritmo WEPEncripta las conexiones inalmbricasUtilizar
clave para la conexinNo seguro. Existen muchas tcnicas para romper
su proteccin (la clave se almacena en el dispositivo inalmbrico)Se
puede descifrar por fuerza brutaOpciones de los dispositivos de
conexin inalmbrica (seguridad)Estndar 802.1x y servidores RADIUSMs
robusto que WEP (protocolo EAP) junto a un servidor RADIUS de
autentificacin de usuariosSe administran los usuarios de la red y
es ms seguraSe limita el acceso mediante un sistema de usuario y
contraseaSe limita los tiempos o periodos de conexinSe controla el
ancho de bandaUtilizada en los puntos calientes segurosSolicitante:
Cliente o usuario de la red inalmbricaAutenticador: Punto de acceso
inalmbricoServidor de autenticacin RADIUS: Donde estn definidos los
usuarios a los que se les permitir acceso a la red
inalmbricaAutenticador: Intermediario entre el cliente y el
servidor RADIUS. Una vez concedido el acceso, el cliente podr
acceder a los servicios de la red a travs del autenticador
Opciones de los dispositivos de conexin inalmbrica
(seguridad)WPASurgi para subsanar las debilidades de WEPSe cambia
la clave compartida entre el punto de acceso y el cliente cada
cierto tiempo (para evitar ataques de fuerza bruta). No es
totalmente seguraWPA y WPA2 pueden trabajar o no con un servidor de
autenticacinSi no se usa servidor Todas las estaciones utilizan una
clave compartida (PSK o WPA2-personal)Si se usa IEE 802.1x se
denomina WPA2-corporativoLa encriptacin a nivel de la capa de
enlace (WEP, WPA, WPA2) no garantiza confidencialidadUtilizar WPA
en lugar de WEPLa ocultacin de SSID y el filtrado de direcciones
MAC no son mtodos segurosPortal cautivoSe fuerza al usuario a
utilizar una determinada pgina para poder hacer uso de la red
Riesgos potenciales de los servicios de redLos servicios de red
bsicos que generalmente se requieren a un servidor local o remoto
sonServicio de nombres de dominio DNSServicio DHCPServicio de
alojamiento WEBServicio de correo electrnicoOtros: servicio telnet,
ssh, ftp, tftp, Riesgos potenciales de los servicios de redLa
principal amenaza de la mayora de estos servicios son los ataques
de denegacin de servicio DoS (Denial of Service)Se inunda al
servidor proveedor de los servicios con peticiones capaces de
impedir el funcionamiento del servicio A veces impide la ejecucin y
otras ejecuta el servicio de manera distinta a la deseadaServicios
inseguros con los puertos abiertos (cerrarlos si no se usan)Riesgos
potenciales de los servicios de redDNSPeligro en clientes y
servidores: que un atacante pueda modificar las resoluciones DNS
(desviar las conexiones)Whois Nos da informacinAXFR: Ataque de
transferencia de zonaDIG: Programa para realizar estos ataques
(Linux)DNS Spoofing: Se intenta que un usuario se conecte a un
sistema controlado por el atacante y as capturar o modificar
informacin (traduccin falsa de las direcciones y nombres de
dominio)Dos tiposHijacking de respuestas a peticiones
DNSEnvenenamiento de cach, pharming (resolucin de nombres de
entidades financieras)Para asegurar el servicio DNSSeparar los
servidores DNS internos de los externosControlar la recursividad
empleada por los servidores DNS en las bsquedasRiesgos potenciales
de los servicios de redDHCPEs inseguro (se ejecuta sobre IP y
UDP)Servidor DHCP no autorizado (pierde el servicio DHCP a favor
del atacante)Clientes DHCP no autorizados acceden a la red equipos
que no deberan tener ese privilegio y recuperar informacinRiesgos
potenciales de los servicios de redDHCP
Riesgos potenciales de los servicios de redServidor WebPunto de
vulnerabilidad (la red se abre a Internet)Existe mucho riesgo con
la confidencialidad de los datos transmitidos va webFallosFallos en
la configuracin en los servidores WebRiesgo en los
navegadoresInterceptacin de datos en la comunicacin entre el
navegador y el servidor webRiesgos potenciales de los servicios de
redCorreo electrnicoExisten dos partesCliente de correo electrnico
Software que utiliza el usuario para enviar y recibir correo)
MUAThunderbird, OutlookServidor de correo electrnicoTransporta los
correos de un servidor a otro y almacena los mensajes para que el
cliente pueda acceder a ellosPara realizar dos funciones se
ejecutan los protocolos SMTP, IMAP y POP3La transferencia de
mensajes entre servidores la realiza el MTASendmail,
PostfixPeligrosUso de servidores por personas ajenas a la
organizacinEnvo de mensajes con remite falso o correo basura
(spam)Ataque de desbordamiento de buffer: direccin de correo
electrnico muy largaDebilidad de SMTP: clientes pueden adoptar la
identidad que deseen y crear spam (DNS Spoofing), mediante rdenes
lanzadas al servidor SMTPOrden VRFY
Comando VRFYConsulta a un determinado servidor de correo si una
direccin existe o noSe puede deshabilitar este comando (servidor no
contesta a peticin de comprobacin)Fichero main.cf en
PostfixDeshabilitar que un usuario pueda preguntar por telnet si
una direccin existe o noDisable_vrfy_command = yes# telnet
correo.dominio 25Trying 65.111.99.99...Connected to correo.dominio
(65.111.99.99).Escape character is '^]'.220 servidor.dominio ESMTP
SMTP Ready; Sun, 14 Ago 2011 14:32:19 GMTvrfy tomas@dominio252
2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try
finger)expn root502 5.7.0 Sorry, we do not allow this
operationquit221 2.0.0 correo2.dominio closing connectionConnection
closed by foreign hostLa comunicacin entre un cliente SMTP y un
servidor SMTP se basa en un conjunto de comandos enviados por el
cliente (como VRFY)El servidor responde con cdigos numricos
