SEGURIDAD
INFORMÁTICA EN REDES
DE ORDENADORES
Manuel Fernández Iglesias
Xabiel García Pañeda
Índice
Tema 1: Introducción a la seguridad informática en redes de ordenadores
Tema 2: Anatomía de un ataque a un sistema ...
Bibliografía
Seguridad en las comunicaciones y en la información. Gabriel Díaz,
Francisco Mur, Elio Sancristóbal, Manuel A...
Bibliografía
Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall.
2001
Active Defense. Chris Breton, Cameron ...
Tema 1: Introducción a la
seguridad informática en
redes de ordenadores
Manuel Fernández Iglesias
Xabiel García Pañeda
Introducción
Detenidas 23 personas que estafaron más de dos
millones de euros usando virus informáticos
Un grupo internaci...
Introducción
Un virus poco virulento se cuela en los SMS de dos
operadoras
Eliles-A, un gusano masivo posiblemente creado ...
Introducción
Cuando este descarga el archivo, resulta ser un virus.
O, si visita la web, le instalan subrepticiamente
un c...
Introducción
¿Qué es seguridad?
La seguridad absoluta es indemostrable. Se habla de
fiabilidad.
Mantener un sistema seguro consiste en ...
¿Qué queremos proteger?
Los recursos del sistema
Hardware
Software
Datos

Tipos de ataque a los recursos:
Interrupción: el...
¿De qué nos queremos proteger?
De todos aquellos agentes que puedan atacar a
nuestros recursos
Personas: empleados, ex-emp...
Algunos ejemplos
Un ex-empleado se cuela en nuestra empresa después
de ser despedido. Borra todos los expedientes
relacion...
¿Cómo nos podemos proteger?
Análisis de amenazas
Evaluación de (posibles) pérdidas y su probabilidad
Definición de una pol...
Vulnerabilidad
La vulnerabilidad de una organización depende de:
El grado de publicidad de la organización
El coste de los...
Amenazas
Una amenaza es cualquier circunstancia o evento que potencialmente
puede causar un daño a una organización median...
Amenazas: Más peligrosas y más
fáciles de usar
Packet Forging/
Spoofing

Alto
Back
Doors
Exploiting Known
Vulnerabilities
...
Tipos de amenazas
Fallo de componentes (hardware o software). Ej. caída del
cortafuegos, fallos de un protocolo
Exposición...
Algunos ejemplos de amenazas lógicas
Virus. secuencia de código maligna que se inserta en un fichero
ejecutable (huesped)
...
Estadísticas de la amenaza
Fuente: Estudio del CSI/FBI de 2001
94% detectaron virus
91% detectaron uso abusivo de la red
4...
Estadísticas de la amenaza
El crimen computarizado no desciende
35% (186 encuestados) estaban dispuestos a (o
podían) cuan...
Estadísticas de la amenaza
Honeynet Project (project.honeynet.org)
Grupo de investigación dedicado a aprender las
herramie...
Estadísticas de la amenaza
Montan honeypots y
honeynets
Fáciles de atacar
Parecen reales
Bloquean
comunicaciones
exteriore...
Estadísticas de la amenaza
Honeynet Project
Analizando el pasado ...
Los resultados asustan (1 servidor comprometido a los...
Propagación del Code Red
19 de Julio, Media Noche - 159 Hosts Infectados
Propagación del Code Red
19 de Julio, 11:40 am - 4,920 Hosts Infectados
Propagación del Code Red
20 de Julio, Media Noche - 341,015 Hosts Infectados
Ejemplos de signos de ataque
El sistema se para
Discrepancias en la información sobre las cuentas (p. ej.
/usr/admin/lastl...
Ejemplos de signos de ataque
Logins desde lugares o a horas no habituales
Ficheros con nombres sospechosos (“...”, “.. ”, ...
Ejemplos de agujeros en la seguridad
Claves fáciles de adivinar, o claves por defecto
Cuentas inactivas o no usadas, cuent...
Contramedidas
Identificación y Autenticación (I&A). Procedimiento por el
que se reconocen y verifican identidades válidas ...
Contramedidas
Gestión de incidentes. Detección de ataques,
históricos, control de integridad, etc.
Acciones administrativa...
Tema 2: Anatomía de un
ataque a un sistema
informático
Manuel Fernández Iglesias
Xabiel García Pañeda
Clasificación
Según el origen:
Externo. Realizados desde el exterior del sistema
Interno. Realizados desde el interior del...
Anatomía de un ataque

Búsqueda

Acceso

Borrando
las huellas

Rastreo

Obtención de
privilegios

Puertas
traseras

Enumer...
Anatomía de un ataque.
Búsqueda
Objetivo
Recogida de información, ingeniería social,
selección de rangos de direcciones y
...
Anatomía de un ataque.
Búsqueda
Contramedidas
Control del contenido de la
información pública
Precaución con la informació...
Anatomía de un ataque.
Rastreo (scanning, barrido)
Objetivo
Identificación de equipos y servicios.
Selección de los puntos...
Anatomía de un ataque.
Rastreo
Contramedidas
Herramientas de detección de ping
(Scanlogd, Courtney, Ippl, Protolog)
Config...
Anatomía de un ataque.
Enumeración
Objetivo
Descubrir cuentas de usuario válidas y recursos
compartidos mal protegidos

Té...
Anatomía de un ataque.
Acceso
Objetivo
Ya disponemos de información suficiente
para intentar un acceso documentado al
sist...
Anatomía de un ataque.
Acceso
Contramedidas
Control de las actualizaciones del
software
Control en la instalación o ejecuc...
Anatomía de un ataque.
Obtención de privilegios
Objetivo
Obtener permisos de administrador a partir
de los permisos de usu...
Anatomía de un ataque.
Pilfering
Objetivo
Nueva búsqueda de información para
atacar a otros sistemas de confianza

Técnica...
Anatomía de un ataque.
Borrando las huellas
Objetivo
Una vez que se tiene el control total del
sistema, ocultar el hecho a...
Anatomía de un ataque.
Creación de puertas traseras
Objetivo
Permiten a un intruso volver a entrar en un
sistema sin ser d...
Anatomía de un ataque.
Creación de puertas traseras
Contramedidas
Básicamente, las del acceso
(control riguroso del SW eje...
Anatomía de un ataque.
Denegación de servicio
Objetivo
Si no se consigue el acceso, el atacante
puede intentar deshabilita...
Ejemplo de ataque: DDOS
Ataque por denegación de servicio
distribuido (DDOS)
Máquina
objetivo

Máquina
origen

Zombi
Ejemplo de ataque: DDOS
Muy eficaz. Deja rápidamente a la máquina
fuera de combate
Difícil de parar. Si los zombis están b...
Ejemplo de ataque: Inserción de código
SQL
Formulario Web donde se solicita nombre de
usuario y clave
En el servidor se ut...
Ejemplo de ataque: Inserción de código
SQL
Se accede a la información del sistema
En un principio a los nombres de usuario...
Ejemplo de ataque: Fishing bancario
Basado en la idea del CazaBobos
Se rastean páginas Web localizando direcciones de
corr...
Ejemplo de ataque: Fishing bancario

Dirección real: http://rumager.com/...

Dirección diferente
Protocolo no seguro
Ejemplo de ataque: Fishing bancario
Entramos en la página
Nos pide el nombre de usuario y la contraseña
del supuesto banco...
Ejemplo de ataque: IP Spoofing
Se suplanta la personalidad de un equipo
Es un ataque muy sofisticado
Denegación de servici...
Ejemplo de ataque: IP Spoofing
Es necesario atacar a muchas máquinas
Consigue que el receptor de los mensajes
se crea que ...
Ejemplo de ataque: Mitnick/Shimomura
Compañeros en el National Security Agency
Mitnick estuvo extrayendo información del
o...
Ejemplo de ataque: Mitnick/Shimomura
Pasos:
1.
2.

3.

El atacante entía un TCP SYMM flood a un equipo,
llamémosle A, en e...
Ejemplo de ataque: Mitnick/Shimomura
Pasos:
4.
5.

6.

El atacante simula el mensaje 3 de creación de la
sesión TCP
Por la...
Tema 3: Vulnerabilidades de
un sistema informático
Manuel Fernández Iglesias
Xabiel García Pañeda
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7

Servidor 10

LAN
interna

13
Internet

Estació...
Las 14 vulnerabilidades más importantes
4
1:
Servidor

Servidor 7
Servidor 10
LAN
DMZ
DMZ
interna
Control de acceso al rou...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7
LAN
interna

13
Internet

8
Router
frontera
1

...
Las 14 vulnerabilidades más importantes
3:

4

Internet

Servidor
Servidor 7
La información disponible puede proporcionar
...
Las 14 vulnerabilidades más importantes
4:
3

13

Servidor
Servidor 7
Los servidores que corren servicios inneceLAN
DMZ
DM...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
5:
DMZ

7

Servidor 10
LAN
interna
La utilización de p...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7

Servidor 10

LAN
interna

13
Internet

Estació...
Las 14 vulnerabilidades más importantes
4
3

7:

Servidor
DMZ

Servidor
Servidor
Servidores de Internet en la zona desmili...
Las 14 vulnerabilidades más importantes
4
3

13

Servidor
DMZ

Servidor
DMZ

7
LAN
interna

Servidor 10

Internet

Estació...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7
LAN
interna

13
Internet

8
Router
frontera

Co...
Las 14 vulnerabilidades más importantes
4
3

10:
Servidor 7
Servidor
Controles de accesoLAN ficheros o a los
a los
DMZ
int...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7
LAN
interna

13
Internet

8
Router
frontera
1

...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ
12:

13

7

Servidor 10

LAN
interna

Internet

Lo...
Las 14 vulnerabilidades más importantes
4
3 Servidor
13: DMZ

Servidor
DMZ

7

Internet

Servidor 10
LAN
interna
La gestió...
Las 14 vulnerabilidades más importantes
4
3

Servidor
DMZ

Servidor
DMZ

7
LAN
interna

13
Internet

Estación 12
Trabajo 5...
Tema 4: Políticas de
seguridad
Manuel Fernández Iglesias
Xabiel García Pañeda
Política de Seguridad
Objetivo
Definir cómo se va a proteger una
organización ante los ataques. Tiene dos
partes:
Política...
Política de seguridad
A nivel general:
Identificar que se ha de proteger
Determinar de que se está tratando de proteger
De...
Política de Seguridad
Hitos de una buena política de
seguridad
Para cada aspecto de la política:
Autoridad ¿Quién es el re...
Política de seguridad
Características de una buena política de seguridad (RFC 2196)
Se tiene que poder poner en práctica m...
Política de Seguridad
Componentes de una buena política de seguridad (RFC 2196)
Guía de compra de hardware y software, don...
Política de Seguridad
Componentes de una buena política de seguridad (RFC 2196), cont.
Una declaración de disponibilidad, ...
Upcoming SlideShare
Loading in...5
×

Seguridad servicios comunicaciones

630

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
630
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad servicios comunicaciones

  1. 1. SEGURIDAD INFORMÁTICA EN REDES DE ORDENADORES Manuel Fernández Iglesias Xabiel García Pañeda
  2. 2. Índice Tema 1: Introducción a la seguridad informática en redes de ordenadores Tema 2: Anatomía de un ataque a un sistema informático Tema 3: Vulnerabilidades de un sistema informático Tema 4: Políticas de seguridad Tema 5: Criptografía Tema 6: Protocolos de seguridad Tema 7: Seguridad perimetral Tema 8: Legislación sobre seguridad Tema 9: Sistemas biométricos Tema 10: Firewalls Tema 11: Sistemas de detección de intrusiones Tema 12: Sistemas de gestión de la indentidad Tema 13: Seguridad en entornos inalámbricos Tema 14: Informática forense
  3. 3. Bibliografía Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004 Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004 Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005 Seguridad y Protección de la Información. José Luis Morant, Arturo Ribagorda, Justo Sancho. Editorial Centro de Estudios Ramón Areces, S.A. 1994 Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003 Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005 Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003
  4. 4. Bibliografía Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001 Active Defense. Chris Breton, Cameron Hunt. SYBEX. 1999 Inside Network Perimeter Security. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003 Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003 Computer Forensics. Computer Crime Scene Investigation. John R. Vacca. Thomson. 2005 Internet Forensics. Robert Jones. O’Reilly. 2005 Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W. Rose. Addison-Wesley. 2006 File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005 Forensics Discovery. Dan Farmer, Wietse Venema. AddisonWesley. 2004
  5. 5. Tema 1: Introducción a la seguridad informática en redes de ordenadores Manuel Fernández Iglesias Xabiel García Pañeda
  6. 6. Introducción Detenidas 23 personas que estafaron más de dos millones de euros usando virus informáticos Un grupo internacional de delincuentes que habría estafado hasta dos millones de euros a través de Internet ha sido desarticulado por la Policía Nacional. El grupo, formado por personas de varias nacionalidades, lograba claves y contraseñas de sus víctimas con la ayuda de un 'troyano', y luego las utilizaban para obtener dinero. http://www.elpais.com/articulo/internet/Detenidas/23/personas/estafaron/millones/euros/usando/virus/informaticos/elpeputec/20060914elpepunet_2/Tes
  7. 7. Introducción Un virus poco virulento se cuela en los SMS de dos operadoras Eliles-A, un gusano masivo posiblemente creado por españoles, ha estado enviando mensajes SMS a clientes de Movistar y Vodafone con móviles que funcionen con el sistema operativo Symbian en las últimas semanas, según la empresa McAfee. Los mensajes instaban a los clientes de estas operadoras a descargar un antivirus gratuito, que en realidad era un virus. Es lo que se llama SMiShing o el phishing trasladado a los mensajes SMS, cada vez más de actualidad: el defraudador envía mensajes SMS con una excusa sugerente, para convencer al usuario de que descargue un archivo o visite una página web, donde se le darán cosas gratuitas y otras tretas parecidas.
  8. 8. Introducción Cuando este descarga el archivo, resulta ser un virus. O, si visita la web, le instalan subrepticiamente un código malicioso. Eliles-A se propagaba por correo electrónico, simulando proceder de alguien que pedía trabajo y adjuntaba su currículum. Quien lo abría, se infectaba con el gusano, que usaba el ordenador para enviar mensajes SMS a números aleatorios de Movistar y Vodafone, usando las pasarelas Internet-SMS de ambas operadoras. http://www.elpais.com/articulo/red/virus/poco/virulento/cuela/SMS/operadoras/elpeputec/20060914elpcibenr_2/Tes
  9. 9. Introducción
  10. 10. ¿Qué es seguridad? La seguridad absoluta es indemostrable. Se habla de fiabilidad. Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability): Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados. Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados. Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio).
  11. 11. ¿Qué queremos proteger? Los recursos del sistema Hardware Software Datos Tipos de ataque a los recursos: Interrupción: el recurso queda inutilizable o no disponible Interceptación: captura de un recurso o acceso al mismo Modificación o destrucción: Interceptación y manipulación del recurso Fabricación: generación de recursos similares a los atacados
  12. 12. ¿De qué nos queremos proteger? De todos aquellos agentes que puedan atacar a nuestros recursos Personas: empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami. Catástrofes
  13. 13. Algunos ejemplos Un ex-empleado se cuela en nuestra empresa después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave sin darse cuenta. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa
  14. 14. ¿Cómo nos podemos proteger? Análisis de amenazas Evaluación de (posibles) pérdidas y su probabilidad Definición de una política de seguridad Implementación de la política: mecanismos de seguridad 1. 2. 3. 4. - De prevención: durante el funcionamiento normal del sistema De detección: mientras se produce un intento de ataque De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense
  15. 15. Vulnerabilidad La vulnerabilidad de una organización depende de: El grado de publicidad de la organización El coste de los ataques La exposición de la organización a los ataques externos La exposición de la organización ante ataques internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información? Confianza: ¿En qué medida se puede contar con los usuarios?
  16. 16. Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos. ¿Los malos van a tratar de actuar sobre mi sistema? ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización? ¿Puede ocurrir que la reputación de mi organización se vea comprometida?
  17. 17. Amenazas: Más peligrosas y más fáciles de usar Packet Forging/ Spoofing Alto Back Doors Exploiting Known Vulnerabilities Self Replicating Code Stealth Diagnostics DDOS Sweepers Sniffers Sofisticación de las herramientas de Hacking Hijacking Sessions Disabling Audits Conocimiento técnico requerido Password Cracking Password Guessing Bajo 1980 1990 2000 Juan Laje – Cisco Systems
  18. 18. Tipos de amenazas Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... Utilización de la información para usos no previstos. Puede venir del exterior o del interior Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios... Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización
  19. 19. Algunos ejemplos de amenazas lógicas Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huesped) Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing” Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización
  20. 20. Estadísticas de la amenaza Fuente: Estudio del CSI/FBI de 2001 94% detectaron virus 91% detectaron uso abusivo de la red 40% detectaron penetración en sistemas 36% detectaron ataques de DOS www.gocsi.com
  21. 21. Estadísticas de la amenaza El crimen computarizado no desciende 35% (186 encuestados) estaban dispuestos a (o podían) cuantificar pérdidas Sobre 400 millones de euros en pérdidas financieras En contraste, en el 2000, 249 encuestados comunicaron unos 300 millones en pérdidas 1997-2001 pérdidas totales = más de 1.000.000.000 de euros www.gocsi.com
  22. 22. Estadísticas de la amenaza Honeynet Project (project.honeynet.org) Grupo de investigación dedicado a aprender las herramientas, tácticas y motivaciones de la comunidad de hackers y a compartir las lecciones aprendidas Enfoque en dos áreas: Medir la agresividad de la comunidad de hackers Evaluar el concepto de Alerta y Predicción Temprana Sección española (www.honeynet.org.es/es/)
  23. 23. Estadísticas de la amenaza Montan honeypots y honeynets Fáciles de atacar Parecen reales Bloquean comunicaciones exteriores Monitorizan el sistema Estudian el comportamiento de los atacantes
  24. 24. Estadísticas de la amenaza Honeynet Project Analizando el pasado ... Los resultados asustan (1 servidor comprometido a los 15 minutos de estar en la Internet) La comunidad de hackers es MUY agresiva No se hicieron intentos de anunciar los “éxitos” Prediciendo el futuro Análisis estadístico de meses de actividad
  25. 25. Propagación del Code Red 19 de Julio, Media Noche - 159 Hosts Infectados
  26. 26. Propagación del Code Red 19 de Julio, 11:40 am - 4,920 Hosts Infectados
  27. 27. Propagación del Code Red 20 de Julio, Media Noche - 341,015 Hosts Infectados
  28. 28. Ejemplos de signos de ataque El sistema se para Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces) Intentos de escritura en los ficheros del sistema Algunos ficheros desaparecen Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar) Las prestaciones del sistema son inexplicablemente bajas Sondas sospechosas (logins incorrectos repetidos desde otro nodo).
  29. 29. Ejemplos de signos de ataque Logins desde lugares o a horas no habituales Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.) Cambios en los ficheros de claves, listas de grupos, etc. Cambios en ficheros de configuración del sistema, en bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail) no justificables Interfaces de red en modo promiscuo
  30. 30. Ejemplos de agujeros en la seguridad Claves fáciles de adivinar, o claves por defecto Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de grupo Servicios no seguros mal configurados (tftp, sendmail, ftp) Servicios no seguros e inútiles (finger, rusers, rsh) Ficheros de configuración de la red o del acceso no seguros (entradas + en configuración NIS) Consolas inseguras Protección de acceso y propiedad de ficheros sensibles mal configurada. Versiones no actualizadas del sistema operativo. Conexiones telefónicas inseguras Política de copias de seguridad inexistente o mal diseñada.
  31. 31. Contramedidas Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: Estática (username/password) Robusta (claves de un solo uso, firmas electrónicas) Continua (firmas electrónicas aplicadas a todo el contenido de la sesión) Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias Cifrado. Proporciona confidencialidad, autenticidad e integridad Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc.
  32. 32. Contramedidas Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc. Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc. Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.
  33. 33. Tema 2: Anatomía de un ataque a un sistema informático Manuel Fernández Iglesias Xabiel García Pañeda
  34. 34. Clasificación Según el origen: Externo. Realizados desde el exterior del sistema Interno. Realizados desde el interior del sistema Según la complejidad: No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos
  35. 35. Anatomía de un ataque Búsqueda Acceso Borrando las huellas Rastreo Obtención de privilegios Puertas traseras Enumeración Pilfering Denegación de servicio
  36. 36. Anatomía de un ataque. Búsqueda Objetivo Recogida de información, ingeniería social, selección de rangos de direcciones y espacios de nombres Técnicas Búsquedas en información pública (Altavista con directivas link: o host:) Interfaz web a whois ARIN whois DNS zone transfer (nslookup) Reconocimiento de redes (traceroute)
  37. 37. Anatomía de un ataque. Búsqueda Contramedidas Control del contenido de la información pública Precaución con la información de registro Seguridad en DNS (p. ej. no permitir las transferencias de zona) Instalación de sistemas de detección de intrusiones (NIDS)
  38. 38. Anatomía de un ataque. Rastreo (scanning, barrido) Objetivo Identificación de equipos y servicios. Selección de los puntos de entrada más prometedores Técnicas Ping sweep (fping, nmap) Consultas ICMP (icmpquery) TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) Detección del sistema operativo (nmap, queso) Herramientas de descubrimiento automático (Chaos)
  39. 39. Anatomía de un ataque. Rastreo Contramedidas Herramientas de detección de ping (Scanlogd, Courtney, Ippl, Protolog) Configuración adecuada de los routers de frontera (access lists) Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm) Desconectar servicios inútiles o peligrosos
  40. 40. Anatomía de un ataque. Enumeración Objetivo Descubrir cuentas de usuario válidas y recursos compartidos mal protegidos Técnicas Listados de cuentas (finger) Listados de ficheros compartidos (showmount, enumeración NetBIOS) Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.) NT Resource Kit Contramedidas Las del rastreo Control del Software Formación de los usuarios
  41. 41. Anatomía de un ataque. Acceso Objetivo Ya disponemos de información suficiente para intentar un acceso documentado al sistema Técnicas Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) Forzado de recursos compartidos Obtención del fichero de passwords Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) Ingeniería social
  42. 42. Anatomía de un ataque. Acceso Contramedidas Control de las actualizaciones del software Control en la instalación o ejecución de aplicaciones Cortafuegos personales, detección de intrusiones Educación de los usuarios (selección de buenas passwords) Auditoría e históricos
  43. 43. Anatomía de un ataque. Obtención de privilegios Objetivo Obtener permisos de administrador a partir de los permisos de usuario Técnicas Vulnerabilidades conocidas Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas Capturadores de teclado Las del acceso Contramedidas Las del acceso
  44. 44. Anatomía de un ataque. Pilfering Objetivo Nueva búsqueda de información para atacar a otros sistemas de confianza Técnicas Evaluación del nivel de confianza (rhosts, secretos LSA) Búsqueda de passwords en claro (bases de datos, servicios Web) Contramedidas Las del acceso Herramientas de monitorización de red Actuaciones en el nivel de arquitectura
  45. 45. Anatomía de un ataque. Borrando las huellas Objetivo Una vez que se tiene el control total del sistema, ocultar el hecho al administrador legitimo del sistema Técnicas Limpieza de logs Ocultación de herramientas Troyanos y puertas traseras Contramedidas Gestión de históricos y monitorización, a nivel de red y a nivel de host. Control del SW instalado
  46. 46. Anatomía de un ataque. Creación de puertas traseras Objetivo Permiten a un intruso volver a entrar en un sistema sin ser detectado, de la manera más rápida y con el menor impacto posible Técnicas Cuentas de usuario ficticias, robadas o inactivas Trabajos batch Ficheros de arranque infectados, librerías o núcleos modificados Servicios de control remoto y caballos de Troya (Back Orifice) Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) Ocultación del tráfico de red y ocultación de procesos
  47. 47. Anatomía de un ataque. Creación de puertas traseras Contramedidas Básicamente, las del acceso (control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.) Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras).
  48. 48. Anatomía de un ataque. Denegación de servicio Objetivo Si no se consigue el acceso, el atacante puede intentar deshabilitar el objetivo Técnicas Inundación de SYNs Técnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idénticos Contramedidas Configuración cuidadosa de los cortafuegos y routers.
  49. 49. Ejemplo de ataque: DDOS Ataque por denegación de servicio distribuido (DDOS) Máquina objetivo Máquina origen Zombi
  50. 50. Ejemplo de ataque: DDOS Muy eficaz. Deja rápidamente a la máquina fuera de combate Difícil de parar. Si los zombis están bien elegidos estarán en diferentes subredes. Será complicado cortar el flujo de tráfico No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo
  51. 51. Ejemplo de ataque: Inserción de código SQL Formulario Web donde se solicita nombre de usuario y clave En el servidor se utilizan los datos para rellenar la consulta SQL: SELECT user_id FROM users WHERE strlogin=‘xuan’ AND strpassword=‘aab’ usuario Se introduce en el formulario: Clave: “ OR 1=1 -Usuario: cualquier cosa Clave: “ OR 1=1; DROP table users; -- clave
  52. 52. Ejemplo de ataque: Inserción de código SQL Se accede a la información del sistema En un principio a los nombres de usuario y sus claves (codificadas, supuestamente) Se puede eliminar información del sistema Sería necesario conocer el nombre de las tablas SELECT * FROM PG_CLASS SELECT relname FROM PG_CLASS Ataca al elemento más valioso de un sistema: LA INFORMACIÓN
  53. 53. Ejemplo de ataque: Fishing bancario Basado en la idea del CazaBobos Se rastean páginas Web localizando direcciones de correo Se hace un mailing a dichas direcciones Se disfraza la página Web haciendo parecer la de un banco Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda) Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante
  54. 54. Ejemplo de ataque: Fishing bancario Dirección real: http://rumager.com/... Dirección diferente Protocolo no seguro
  55. 55. Ejemplo de ataque: Fishing bancario Entramos en la página Nos pide el nombre de usuario y la contraseña del supuesto banco La introducimos No informa que el problema ha sido solucionado !TIENEN NUESTRO NOMBRE DE USUARIO Y NUESTRA CONTRASEÑA!
  56. 56. Ejemplo de ataque: IP Spoofing Se suplanta la personalidad de un equipo Es un ataque muy sofisticado Denegación de servicio Suplantado IP: 156.35.14.2 Suplantador IP: 156.35.14.2 Se modifican las rutas
  57. 57. Ejemplo de ataque: IP Spoofing Es necesario atacar a muchas máquinas Consigue que el receptor de los mensajes se crea que es el emisor legítimo Puede ser extremadamente peligroso
  58. 58. Ejemplo de ataque: Mitnick/Shimomura Compañeros en el National Security Agency Mitnick estuvo extrayendo información del ordenador de Shimomura durante meses Existieron una serie de premisas: Mitnick, mediante ingeniería social obtuvo direcciones IP de ordenadores de colaboradores de Shimomura. Direcciones en las que confiaba el ordenador de la víctima El atacante intentó abrir varias sesiones TCP con la victima para determinar como se elegía el número de secuencia cada vez. Se incrementaba en 128000 El atacante sabía que Shimomura utlizaba UNIX y tenía activados los comandos remotos de Berkeley
  59. 59. Ejemplo de ataque: Mitnick/Shimomura Pasos: 1. 2. 3. El atacante entía un TCP SYMM flood a un equipo, llamémosle A, en el que confía la víctima El atacante envía un paquete, con suplantación de dirección IP fuente a la víctima pretendiendo ser A. Son el bit SYN habilitado. Paso inicial de conexión en TCP La víctima contesta con un paquete SYM, ACK. A no recibe el paquete. El atacante que no recibe tampoco este paquete debe conocer el número de secuencia
  60. 60. Ejemplo de ataque: Mitnick/Shimomura Pasos: 4. 5. 6. El atacante simula el mensaje 3 de creación de la sesión TCP Por la conexión TCP envía comando para que añada una entrada comodín (‘++’) al fichero ./rhost. El ordenador de Shimomura comienza a confiar en cualquiera El atacante envía un mensaje TCP con el bit de RST (reset) activado para cortar la conexión
  61. 61. Tema 3: Vulnerabilidades de un sistema informático Manuel Fernández Iglesias Xabiel García Pañeda
  62. 62. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 Servidor 10 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera Cortafuegos Router Interno 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  63. 63. Las 14 vulnerabilidades más importantes 4 1: Servidor Servidor 7 Servidor 10 LAN DMZ DMZ interna Control de acceso al router inadecuado: ACLs mal configuradas en el router pueden 13 permitir la fuga de información a través de Estación 12 paquetes ICMP, IP 8 NetBIOS, y facilitar el Trabajo 5 o Router Router acceso no autorizado a servicios dentro de la Cortafuegos frontera Interno zona desmilitarizada. 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto 3 Internet
  64. 64. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera 1 Usuario Remoto Cortafuegos 2: Router Interno Servidor 10 Estación 12 Trabajo 5 14 LAN Los Servidor puntos de acceso remoto no seguros y no interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras más sencillas de acceder a una red 11 corporativa. Los usuarios remotos se suelen Oficina Estación Servidor conectar a Internet con pocas protecciones, 9 Remota Trabajo exponiendo al ataque información sensible
  65. 65. Las 14 vulnerabilidades más importantes 3: 4 Internet Servidor Servidor 7 La información disponible puede proporcionar LAN DMZ DMZ información sobre el sistema operativo, interna versiones de las aplicaciones, usuarios, 13 grupos, recursos compartidos, información DNS (transferencias de zonas), y servicios 8 Router Router abiertos como SNMP, finger, SMTP, telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1 Estación 12 Trabajo 5 14 Servidor Acceso Remoto Usuario Remoto Servidor 10 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  66. 66. Las 14 vulnerabilidades más importantes 4: 3 13 Servidor Servidor 7 Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden ser interna fácilmente atacados. Internet 8 Router frontera Cortafuegos Router Interno 1 Estación 12 Trabajo 5 14 Servidor Acceso Remoto Usuario Remoto Servidor 10 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  67. 67. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor 5: DMZ 7 Servidor 10 LAN interna La utilización de palabras clave débiles, fáciles de adivinar o la reutilización de Estación clave palabras 12 en las 8 estaciones de trabajo puede compromeTrabajo Router ter los Cortafuegos servidores. Interno 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  68. 68. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 Servidor 10 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera Cortafuegos 6: 1 Servidor Acceso Remoto Usuario Remoto 2 Router Interno 14 LAN Otra vulnerabilidad muy común son las interna 11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Estación Servidor 9 Remota Trabajo
  69. 69. Las 14 vulnerabilidades más importantes 4 3 7: Servidor DMZ Servidor Servidor Servidores de Internet en la zona desmilitari- 10 LAN DMZ zada mal configurados, sobre todo el interna código CGI o ASP, o servidores FTP anónimo con directorios accesibles en escritura Estación 12 8 para todo el mundo. SQL injection Trabajo 5 Router Cortafuegos Interno 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  70. 70. Las 14 vulnerabilidades más importantes 4 3 13 Servidor DMZ Servidor DMZ 7 LAN interna Servidor 10 Internet Estación 12 Trabajo 5 Router Router Cortafuegos de acceso (ACL) mal configuradas Unas listas frontera Interno en el cortafuegos o en el router pueden per1 14 mitir el acceso desde el exterior, bien directaLAN mente, o bien una vez que la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto 8:
  71. 71. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera Cortafuegos 9: 1 Servidor Acceso Remoto Usuario Remoto 2 Router Interno Servidor 10 Estación 12 Trabajo 5 14 Software obsoleto, LAN no se le han instaal que interna lado los parches recomendados por el fa11 6 bricante, vulnerable, o con las configuraciones 11 por defecto, especialmente los servidores Oficina Estación Servidor WWW. Remota Trabajo
  72. 72. Las 14 vulnerabilidades más importantes 4 3 10: Servidor 7 Servidor Controles de accesoLAN ficheros o a los a los DMZ interna directorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos Estación 12 exportados con NFS en Unix. 8 Trabajo 5 Router Cortafuegos Interno Servidor DMZ 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  73. 73. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera 1 Usuario Remoto Cortafuegos 11: Router Interno Servidor 10 Estación 12 Trabajo 5 14 Las relaciones de confianza excesivas en dominios NT o entradas en LAN .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas 2 Sensibles (pilfering). Oficina Estación Servidor 9 Remota Trabajo
  74. 74. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 12: 13 7 Servidor 10 LAN interna Internet Los servicios sin control de acceso de Estación 8 usuarios, como X Windows permiten a los Trabajo 5 atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno Router frontera 1 14 LAN interna Servidor Acceso Remoto Usuario Remoto 2 11 6 11 Oficina Remota 9 Servidor Estación Trabajo
  75. 75. Las 14 vulnerabilidades más importantes 4 3 Servidor 13: DMZ Servidor DMZ 7 Internet Servidor 10 LAN interna La gestión inadecuada de históricos, la falta de una monitorización adecuada o la falta Estación 12 8 de servicios de detección de intrusiones tanto Trabajo 5 Router Router en el nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto
  76. 76. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera 14: Cortafuegos 1 Servidor Acceso Remoto Usuario Remoto 2 Servidor 10 Router Interno La falta de políticas de seguridad aceptadas LAN por todos y bien definidas y publicadas, así interna como de los procedimientos, normas y guías 11 de actuación relacionadas. 6 11 Oficina Remota 9 Servidor Estación Trabajo
  77. 77. Tema 4: Políticas de seguridad Manuel Fernández Iglesias Xabiel García Pañeda
  78. 78. Política de Seguridad Objetivo Definir cómo se va a proteger una organización ante los ataques. Tiene dos partes: Política general: define el enfoque general: Análisis de vulnerabilidad Identificación de las amenazas Reglas específicas: definen las características y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la política general
  79. 79. Política de seguridad A nivel general: Identificar que se ha de proteger Determinar de que se está tratando de proteger Determinar cuánto de probables son las amenazas Implementar medidas que protejan los recursos con un coste asumible Revisar el proceso continuamente y hacer mejoras cada vez que se localiza una debilidad
  80. 80. Política de Seguridad Hitos de una buena política de seguridad Para cada aspecto de la política: Autoridad ¿Quién es el responsable? Ámbito ¿A quién afecta? Caducidad ¿Cuándo termina? Especificidad ¿Qué se requiere? Claridad ¿Es entendible por todos?
  81. 81. Política de seguridad Características de una buena política de seguridad (RFC 2196) Se tiene que poder poner en práctica mediante procedimientos concretos de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos apropiados. No debe ser una entelequia. Debe ser implementable Se debe obligar su cumplimiento mediante herramientas de seguridad, donde sea posible, y mediante sanciones, donde la prevención no sea posible técnicamente. No debe tener agujeros, y si los tiene hay que poder detectarlos Debe definir claramente las áreas de responsabilidad de los usuarios, los administradores y la dirección. Tiene que haber un responsable para toda situación posible
  82. 82. Política de Seguridad Componentes de una buena política de seguridad (RFC 2196) Guía de compra de hardware y software, donde se especifique las funciones relacionadas con la seguridad requeridas o deseadas. Una política de privacidad que asegure un nivel mínimo de privacidad en cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc. Una política de acceso que defina los niveles de seguridad, los derechos y privilegios, características de las conexiones a las redes internas y externas, mensajes de aviso y notificación, etc. Una política de responsabilidad que defina las responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.) Una política de autenticación que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticación remota o el uso de dispositivos de autenticación.
  83. 83. Política de Seguridad Componentes de una buena política de seguridad (RFC 2196), cont. Una declaración de disponibilidad, que aclare las expectativas de los usuarios en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en la red, etc. Una política de mantenimiento que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc. Una política de comunicación de violaciones que defina qué tipos de amenazas, y cómo y a quién se deben comunicar. Información de apoyo que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×