Seguridad servicios comunicaciones
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Seguridad servicios comunicaciones

on

  • 713 views

 

Statistics

Views

Total Views
713
Views on SlideShare
713
Embed Views
0

Actions

Likes
0
Downloads
19
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seguridad servicios comunicaciones Presentation Transcript

  • 1. SEGURIDAD INFORMÁTICA EN REDES DE ORDENADORES Manuel Fernández Iglesias Xabiel García Pañeda
  • 2. Índice Tema 1: Introducción a la seguridad informática en redes de ordenadores Tema 2: Anatomía de un ataque a un sistema informático Tema 3: Vulnerabilidades de un sistema informático Tema 4: Políticas de seguridad Tema 5: Criptografía Tema 6: Protocolos de seguridad Tema 7: Seguridad perimetral Tema 8: Legislación sobre seguridad Tema 9: Sistemas biométricos Tema 10: Firewalls Tema 11: Sistemas de detección de intrusiones Tema 12: Sistemas de gestión de la indentidad Tema 13: Seguridad en entornos inalámbricos Tema 14: Informática forense
  • 3. Bibliografía Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004 Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004 Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005 Seguridad y Protección de la Información. José Luis Morant, Arturo Ribagorda, Justo Sancho. Editorial Centro de Estudios Ramón Areces, S.A. 1994 Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003 Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005 Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003
  • 4. Bibliografía Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001 Active Defense. Chris Breton, Cameron Hunt. SYBEX. 1999 Inside Network Perimeter Security. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003 Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003 Computer Forensics. Computer Crime Scene Investigation. John R. Vacca. Thomson. 2005 Internet Forensics. Robert Jones. O’Reilly. 2005 Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W. Rose. Addison-Wesley. 2006 File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005 Forensics Discovery. Dan Farmer, Wietse Venema. AddisonWesley. 2004
  • 5. Tema 1: Introducción a la seguridad informática en redes de ordenadores Manuel Fernández Iglesias Xabiel García Pañeda
  • 6. Introducción Detenidas 23 personas que estafaron más de dos millones de euros usando virus informáticos Un grupo internacional de delincuentes que habría estafado hasta dos millones de euros a través de Internet ha sido desarticulado por la Policía Nacional. El grupo, formado por personas de varias nacionalidades, lograba claves y contraseñas de sus víctimas con la ayuda de un 'troyano', y luego las utilizaban para obtener dinero. http://www.elpais.com/articulo/internet/Detenidas/23/personas/estafaron/millones/euros/usando/virus/informaticos/elpeputec/20060914elpepunet_2/Tes
  • 7. Introducción Un virus poco virulento se cuela en los SMS de dos operadoras Eliles-A, un gusano masivo posiblemente creado por españoles, ha estado enviando mensajes SMS a clientes de Movistar y Vodafone con móviles que funcionen con el sistema operativo Symbian en las últimas semanas, según la empresa McAfee. Los mensajes instaban a los clientes de estas operadoras a descargar un antivirus gratuito, que en realidad era un virus. Es lo que se llama SMiShing o el phishing trasladado a los mensajes SMS, cada vez más de actualidad: el defraudador envía mensajes SMS con una excusa sugerente, para convencer al usuario de que descargue un archivo o visite una página web, donde se le darán cosas gratuitas y otras tretas parecidas.
  • 8. Introducción Cuando este descarga el archivo, resulta ser un virus. O, si visita la web, le instalan subrepticiamente un código malicioso. Eliles-A se propagaba por correo electrónico, simulando proceder de alguien que pedía trabajo y adjuntaba su currículum. Quien lo abría, se infectaba con el gusano, que usaba el ordenador para enviar mensajes SMS a números aleatorios de Movistar y Vodafone, usando las pasarelas Internet-SMS de ambas operadoras. http://www.elpais.com/articulo/red/virus/poco/virulento/cuela/SMS/operadoras/elpeputec/20060914elpcibenr_2/Tes
  • 9. Introducción
  • 10. ¿Qué es seguridad? La seguridad absoluta es indemostrable. Se habla de fiabilidad. Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability): Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados. Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados. Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio).
  • 11. ¿Qué queremos proteger? Los recursos del sistema Hardware Software Datos Tipos de ataque a los recursos: Interrupción: el recurso queda inutilizable o no disponible Interceptación: captura de un recurso o acceso al mismo Modificación o destrucción: Interceptación y manipulación del recurso Fabricación: generación de recursos similares a los atacados
  • 12. ¿De qué nos queremos proteger? De todos aquellos agentes que puedan atacar a nuestros recursos Personas: empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami. Catástrofes
  • 13. Algunos ejemplos Un ex-empleado se cuela en nuestra empresa después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave sin darse cuenta. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa
  • 14. ¿Cómo nos podemos proteger? Análisis de amenazas Evaluación de (posibles) pérdidas y su probabilidad Definición de una política de seguridad Implementación de la política: mecanismos de seguridad 1. 2. 3. 4. - De prevención: durante el funcionamiento normal del sistema De detección: mientras se produce un intento de ataque De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense
  • 15. Vulnerabilidad La vulnerabilidad de una organización depende de: El grado de publicidad de la organización El coste de los ataques La exposición de la organización a los ataques externos La exposición de la organización ante ataques internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información? Confianza: ¿En qué medida se puede contar con los usuarios?
  • 16. Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos. ¿Los malos van a tratar de actuar sobre mi sistema? ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización? ¿Puede ocurrir que la reputación de mi organización se vea comprometida?
  • 17. Amenazas: Más peligrosas y más fáciles de usar Packet Forging/ Spoofing Alto Back Doors Exploiting Known Vulnerabilities Self Replicating Code Stealth Diagnostics DDOS Sweepers Sniffers Sofisticación de las herramientas de Hacking Hijacking Sessions Disabling Audits Conocimiento técnico requerido Password Cracking Password Guessing Bajo 1980 1990 2000 Juan Laje – Cisco Systems
  • 18. Tipos de amenazas Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... Utilización de la información para usos no previstos. Puede venir del exterior o del interior Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios... Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización
  • 19. Algunos ejemplos de amenazas lógicas Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huesped) Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing” Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización
  • 20. Estadísticas de la amenaza Fuente: Estudio del CSI/FBI de 2001 94% detectaron virus 91% detectaron uso abusivo de la red 40% detectaron penetración en sistemas 36% detectaron ataques de DOS www.gocsi.com
  • 21. Estadísticas de la amenaza El crimen computarizado no desciende 35% (186 encuestados) estaban dispuestos a (o podían) cuantificar pérdidas Sobre 400 millones de euros en pérdidas financieras En contraste, en el 2000, 249 encuestados comunicaron unos 300 millones en pérdidas 1997-2001 pérdidas totales = más de 1.000.000.000 de euros www.gocsi.com
  • 22. Estadísticas de la amenaza Honeynet Project (project.honeynet.org) Grupo de investigación dedicado a aprender las herramientas, tácticas y motivaciones de la comunidad de hackers y a compartir las lecciones aprendidas Enfoque en dos áreas: Medir la agresividad de la comunidad de hackers Evaluar el concepto de Alerta y Predicción Temprana Sección española (www.honeynet.org.es/es/)
  • 23. Estadísticas de la amenaza Montan honeypots y honeynets Fáciles de atacar Parecen reales Bloquean comunicaciones exteriores Monitorizan el sistema Estudian el comportamiento de los atacantes
  • 24. Estadísticas de la amenaza Honeynet Project Analizando el pasado ... Los resultados asustan (1 servidor comprometido a los 15 minutos de estar en la Internet) La comunidad de hackers es MUY agresiva No se hicieron intentos de anunciar los “éxitos” Prediciendo el futuro Análisis estadístico de meses de actividad
  • 25. Propagación del Code Red 19 de Julio, Media Noche - 159 Hosts Infectados
  • 26. Propagación del Code Red 19 de Julio, 11:40 am - 4,920 Hosts Infectados
  • 27. Propagación del Code Red 20 de Julio, Media Noche - 341,015 Hosts Infectados
  • 28. Ejemplos de signos de ataque El sistema se para Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces) Intentos de escritura en los ficheros del sistema Algunos ficheros desaparecen Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar) Las prestaciones del sistema son inexplicablemente bajas Sondas sospechosas (logins incorrectos repetidos desde otro nodo).
  • 29. Ejemplos de signos de ataque Logins desde lugares o a horas no habituales Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.) Cambios en los ficheros de claves, listas de grupos, etc. Cambios en ficheros de configuración del sistema, en bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail) no justificables Interfaces de red en modo promiscuo
  • 30. Ejemplos de agujeros en la seguridad Claves fáciles de adivinar, o claves por defecto Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de grupo Servicios no seguros mal configurados (tftp, sendmail, ftp) Servicios no seguros e inútiles (finger, rusers, rsh) Ficheros de configuración de la red o del acceso no seguros (entradas + en configuración NIS) Consolas inseguras Protección de acceso y propiedad de ficheros sensibles mal configurada. Versiones no actualizadas del sistema operativo. Conexiones telefónicas inseguras Política de copias de seguridad inexistente o mal diseñada.
  • 31. Contramedidas Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: Estática (username/password) Robusta (claves de un solo uso, firmas electrónicas) Continua (firmas electrónicas aplicadas a todo el contenido de la sesión) Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias Cifrado. Proporciona confidencialidad, autenticidad e integridad Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc.
  • 32. Contramedidas Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc. Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc. Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.
  • 33. Tema 2: Anatomía de un ataque a un sistema informático Manuel Fernández Iglesias Xabiel García Pañeda
  • 34. Clasificación Según el origen: Externo. Realizados desde el exterior del sistema Interno. Realizados desde el interior del sistema Según la complejidad: No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos
  • 35. Anatomía de un ataque Búsqueda Acceso Borrando las huellas Rastreo Obtención de privilegios Puertas traseras Enumeración Pilfering Denegación de servicio
  • 36. Anatomía de un ataque. Búsqueda Objetivo Recogida de información, ingeniería social, selección de rangos de direcciones y espacios de nombres Técnicas Búsquedas en información pública (Altavista con directivas link: o host:) Interfaz web a whois ARIN whois DNS zone transfer (nslookup) Reconocimiento de redes (traceroute)
  • 37. Anatomía de un ataque. Búsqueda Contramedidas Control del contenido de la información pública Precaución con la información de registro Seguridad en DNS (p. ej. no permitir las transferencias de zona) Instalación de sistemas de detección de intrusiones (NIDS)
  • 38. Anatomía de un ataque. Rastreo (scanning, barrido) Objetivo Identificación de equipos y servicios. Selección de los puntos de entrada más prometedores Técnicas Ping sweep (fping, nmap) Consultas ICMP (icmpquery) TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) Detección del sistema operativo (nmap, queso) Herramientas de descubrimiento automático (Chaos)
  • 39. Anatomía de un ataque. Rastreo Contramedidas Herramientas de detección de ping (Scanlogd, Courtney, Ippl, Protolog) Configuración adecuada de los routers de frontera (access lists) Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm) Desconectar servicios inútiles o peligrosos
  • 40. Anatomía de un ataque. Enumeración Objetivo Descubrir cuentas de usuario válidas y recursos compartidos mal protegidos Técnicas Listados de cuentas (finger) Listados de ficheros compartidos (showmount, enumeración NetBIOS) Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.) NT Resource Kit Contramedidas Las del rastreo Control del Software Formación de los usuarios
  • 41. Anatomía de un ataque. Acceso Objetivo Ya disponemos de información suficiente para intentar un acceso documentado al sistema Técnicas Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) Forzado de recursos compartidos Obtención del fichero de passwords Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) Ingeniería social
  • 42. Anatomía de un ataque. Acceso Contramedidas Control de las actualizaciones del software Control en la instalación o ejecución de aplicaciones Cortafuegos personales, detección de intrusiones Educación de los usuarios (selección de buenas passwords) Auditoría e históricos
  • 43. Anatomía de un ataque. Obtención de privilegios Objetivo Obtener permisos de administrador a partir de los permisos de usuario Técnicas Vulnerabilidades conocidas Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas Capturadores de teclado Las del acceso Contramedidas Las del acceso
  • 44. Anatomía de un ataque. Pilfering Objetivo Nueva búsqueda de información para atacar a otros sistemas de confianza Técnicas Evaluación del nivel de confianza (rhosts, secretos LSA) Búsqueda de passwords en claro (bases de datos, servicios Web) Contramedidas Las del acceso Herramientas de monitorización de red Actuaciones en el nivel de arquitectura
  • 45. Anatomía de un ataque. Borrando las huellas Objetivo Una vez que se tiene el control total del sistema, ocultar el hecho al administrador legitimo del sistema Técnicas Limpieza de logs Ocultación de herramientas Troyanos y puertas traseras Contramedidas Gestión de históricos y monitorización, a nivel de red y a nivel de host. Control del SW instalado
  • 46. Anatomía de un ataque. Creación de puertas traseras Objetivo Permiten a un intruso volver a entrar en un sistema sin ser detectado, de la manera más rápida y con el menor impacto posible Técnicas Cuentas de usuario ficticias, robadas o inactivas Trabajos batch Ficheros de arranque infectados, librerías o núcleos modificados Servicios de control remoto y caballos de Troya (Back Orifice) Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) Ocultación del tráfico de red y ocultación de procesos
  • 47. Anatomía de un ataque. Creación de puertas traseras Contramedidas Básicamente, las del acceso (control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.) Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras).
  • 48. Anatomía de un ataque. Denegación de servicio Objetivo Si no se consigue el acceso, el atacante puede intentar deshabilitar el objetivo Técnicas Inundación de SYNs Técnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idénticos Contramedidas Configuración cuidadosa de los cortafuegos y routers.
  • 49. Ejemplo de ataque: DDOS Ataque por denegación de servicio distribuido (DDOS) Máquina objetivo Máquina origen Zombi
  • 50. Ejemplo de ataque: DDOS Muy eficaz. Deja rápidamente a la máquina fuera de combate Difícil de parar. Si los zombis están bien elegidos estarán en diferentes subredes. Será complicado cortar el flujo de tráfico No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo
  • 51. Ejemplo de ataque: Inserción de código SQL Formulario Web donde se solicita nombre de usuario y clave En el servidor se utilizan los datos para rellenar la consulta SQL: SELECT user_id FROM users WHERE strlogin=‘xuan’ AND strpassword=‘aab’ usuario Se introduce en el formulario: Clave: “ OR 1=1 -Usuario: cualquier cosa Clave: “ OR 1=1; DROP table users; -- clave
  • 52. Ejemplo de ataque: Inserción de código SQL Se accede a la información del sistema En un principio a los nombres de usuario y sus claves (codificadas, supuestamente) Se puede eliminar información del sistema Sería necesario conocer el nombre de las tablas SELECT * FROM PG_CLASS SELECT relname FROM PG_CLASS Ataca al elemento más valioso de un sistema: LA INFORMACIÓN
  • 53. Ejemplo de ataque: Fishing bancario Basado en la idea del CazaBobos Se rastean páginas Web localizando direcciones de correo Se hace un mailing a dichas direcciones Se disfraza la página Web haciendo parecer la de un banco Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda) Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante
  • 54. Ejemplo de ataque: Fishing bancario Dirección real: http://rumager.com/... Dirección diferente Protocolo no seguro
  • 55. Ejemplo de ataque: Fishing bancario Entramos en la página Nos pide el nombre de usuario y la contraseña del supuesto banco La introducimos No informa que el problema ha sido solucionado !TIENEN NUESTRO NOMBRE DE USUARIO Y NUESTRA CONTRASEÑA!
  • 56. Ejemplo de ataque: IP Spoofing Se suplanta la personalidad de un equipo Es un ataque muy sofisticado Denegación de servicio Suplantado IP: 156.35.14.2 Suplantador IP: 156.35.14.2 Se modifican las rutas
  • 57. Ejemplo de ataque: IP Spoofing Es necesario atacar a muchas máquinas Consigue que el receptor de los mensajes se crea que es el emisor legítimo Puede ser extremadamente peligroso
  • 58. Ejemplo de ataque: Mitnick/Shimomura Compañeros en el National Security Agency Mitnick estuvo extrayendo información del ordenador de Shimomura durante meses Existieron una serie de premisas: Mitnick, mediante ingeniería social obtuvo direcciones IP de ordenadores de colaboradores de Shimomura. Direcciones en las que confiaba el ordenador de la víctima El atacante intentó abrir varias sesiones TCP con la victima para determinar como se elegía el número de secuencia cada vez. Se incrementaba en 128000 El atacante sabía que Shimomura utlizaba UNIX y tenía activados los comandos remotos de Berkeley
  • 59. Ejemplo de ataque: Mitnick/Shimomura Pasos: 1. 2. 3. El atacante entía un TCP SYMM flood a un equipo, llamémosle A, en el que confía la víctima El atacante envía un paquete, con suplantación de dirección IP fuente a la víctima pretendiendo ser A. Son el bit SYN habilitado. Paso inicial de conexión en TCP La víctima contesta con un paquete SYM, ACK. A no recibe el paquete. El atacante que no recibe tampoco este paquete debe conocer el número de secuencia
  • 60. Ejemplo de ataque: Mitnick/Shimomura Pasos: 4. 5. 6. El atacante simula el mensaje 3 de creación de la sesión TCP Por la conexión TCP envía comando para que añada una entrada comodín (‘++’) al fichero ./rhost. El ordenador de Shimomura comienza a confiar en cualquiera El atacante envía un mensaje TCP con el bit de RST (reset) activado para cortar la conexión
  • 61. Tema 3: Vulnerabilidades de un sistema informático Manuel Fernández Iglesias Xabiel García Pañeda
  • 62. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 Servidor 10 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera Cortafuegos Router Interno 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 63. Las 14 vulnerabilidades más importantes 4 1: Servidor Servidor 7 Servidor 10 LAN DMZ DMZ interna Control de acceso al router inadecuado: ACLs mal configuradas en el router pueden 13 permitir la fuga de información a través de Estación 12 paquetes ICMP, IP 8 NetBIOS, y facilitar el Trabajo 5 o Router Router acceso no autorizado a servicios dentro de la Cortafuegos frontera Interno zona desmilitarizada. 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto 3 Internet
  • 64. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera 1 Usuario Remoto Cortafuegos 2: Router Interno Servidor 10 Estación 12 Trabajo 5 14 LAN Los Servidor puntos de acceso remoto no seguros y no interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras más sencillas de acceder a una red 11 corporativa. Los usuarios remotos se suelen Oficina Estación Servidor conectar a Internet con pocas protecciones, 9 Remota Trabajo exponiendo al ataque información sensible
  • 65. Las 14 vulnerabilidades más importantes 3: 4 Internet Servidor Servidor 7 La información disponible puede proporcionar LAN DMZ DMZ información sobre el sistema operativo, interna versiones de las aplicaciones, usuarios, 13 grupos, recursos compartidos, información DNS (transferencias de zonas), y servicios 8 Router Router abiertos como SNMP, finger, SMTP, telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1 Estación 12 Trabajo 5 14 Servidor Acceso Remoto Usuario Remoto Servidor 10 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 66. Las 14 vulnerabilidades más importantes 4: 3 13 Servidor Servidor 7 Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden ser interna fácilmente atacados. Internet 8 Router frontera Cortafuegos Router Interno 1 Estación 12 Trabajo 5 14 Servidor Acceso Remoto Usuario Remoto Servidor 10 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 67. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor 5: DMZ 7 Servidor 10 LAN interna La utilización de palabras clave débiles, fáciles de adivinar o la reutilización de Estación clave palabras 12 en las 8 estaciones de trabajo puede compromeTrabajo Router ter los Cortafuegos servidores. Interno 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 68. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 Servidor 10 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera Cortafuegos 6: 1 Servidor Acceso Remoto Usuario Remoto 2 Router Interno 14 LAN Otra vulnerabilidad muy común son las interna 11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Estación Servidor 9 Remota Trabajo
  • 69. Las 14 vulnerabilidades más importantes 4 3 7: Servidor DMZ Servidor Servidor Servidores de Internet en la zona desmilitari- 10 LAN DMZ zada mal configurados, sobre todo el interna código CGI o ASP, o servidores FTP anónimo con directorios accesibles en escritura Estación 12 8 para todo el mundo. SQL injection Trabajo 5 Router Cortafuegos Interno 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 70. Las 14 vulnerabilidades más importantes 4 3 13 Servidor DMZ Servidor DMZ 7 LAN interna Servidor 10 Internet Estación 12 Trabajo 5 Router Router Cortafuegos de acceso (ACL) mal configuradas Unas listas frontera Interno en el cortafuegos o en el router pueden per1 14 mitir el acceso desde el exterior, bien directaLAN mente, o bien una vez que la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto 8:
  • 71. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera Cortafuegos 9: 1 Servidor Acceso Remoto Usuario Remoto 2 Router Interno Servidor 10 Estación 12 Trabajo 5 14 Software obsoleto, LAN no se le han instaal que interna lado los parches recomendados por el fa11 6 bricante, vulnerable, o con las configuraciones 11 por defecto, especialmente los servidores Oficina Estación Servidor WWW. Remota Trabajo
  • 72. Las 14 vulnerabilidades más importantes 4 3 10: Servidor 7 Servidor Controles de accesoLAN ficheros o a los a los DMZ interna directorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos Estación 12 exportados con NFS en Unix. 8 Trabajo 5 Router Cortafuegos Interno Servidor DMZ 13 Internet Router frontera 1 14 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo
  • 73. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet 8 Router frontera 1 Usuario Remoto Cortafuegos 11: Router Interno Servidor 10 Estación 12 Trabajo 5 14 Las relaciones de confianza excesivas en dominios NT o entradas en LAN .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas 2 Sensibles (pilfering). Oficina Estación Servidor 9 Remota Trabajo
  • 74. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 12: 13 7 Servidor 10 LAN interna Internet Los servicios sin control de acceso de Estación 8 usuarios, como X Windows permiten a los Trabajo 5 atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno Router frontera 1 14 LAN interna Servidor Acceso Remoto Usuario Remoto 2 11 6 11 Oficina Remota 9 Servidor Estación Trabajo
  • 75. Las 14 vulnerabilidades más importantes 4 3 Servidor 13: DMZ Servidor DMZ 7 Internet Servidor 10 LAN interna La gestión inadecuada de históricos, la falta de una monitorización adecuada o la falta Estación 12 8 de servicios de detección de intrusiones tanto Trabajo 5 Router Router en el nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto
  • 76. Las 14 vulnerabilidades más importantes 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 13 Internet Estación 12 Trabajo 5 8 Router frontera 14: Cortafuegos 1 Servidor Acceso Remoto Usuario Remoto 2 Servidor 10 Router Interno La falta de políticas de seguridad aceptadas LAN por todos y bien definidas y publicadas, así interna como de los procedimientos, normas y guías 11 de actuación relacionadas. 6 11 Oficina Remota 9 Servidor Estación Trabajo
  • 77. Tema 4: Políticas de seguridad Manuel Fernández Iglesias Xabiel García Pañeda
  • 78. Política de Seguridad Objetivo Definir cómo se va a proteger una organización ante los ataques. Tiene dos partes: Política general: define el enfoque general: Análisis de vulnerabilidad Identificación de las amenazas Reglas específicas: definen las características y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la política general
  • 79. Política de seguridad A nivel general: Identificar que se ha de proteger Determinar de que se está tratando de proteger Determinar cuánto de probables son las amenazas Implementar medidas que protejan los recursos con un coste asumible Revisar el proceso continuamente y hacer mejoras cada vez que se localiza una debilidad
  • 80. Política de Seguridad Hitos de una buena política de seguridad Para cada aspecto de la política: Autoridad ¿Quién es el responsable? Ámbito ¿A quién afecta? Caducidad ¿Cuándo termina? Especificidad ¿Qué se requiere? Claridad ¿Es entendible por todos?
  • 81. Política de seguridad Características de una buena política de seguridad (RFC 2196) Se tiene que poder poner en práctica mediante procedimientos concretos de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos apropiados. No debe ser una entelequia. Debe ser implementable Se debe obligar su cumplimiento mediante herramientas de seguridad, donde sea posible, y mediante sanciones, donde la prevención no sea posible técnicamente. No debe tener agujeros, y si los tiene hay que poder detectarlos Debe definir claramente las áreas de responsabilidad de los usuarios, los administradores y la dirección. Tiene que haber un responsable para toda situación posible
  • 82. Política de Seguridad Componentes de una buena política de seguridad (RFC 2196) Guía de compra de hardware y software, donde se especifique las funciones relacionadas con la seguridad requeridas o deseadas. Una política de privacidad que asegure un nivel mínimo de privacidad en cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc. Una política de acceso que defina los niveles de seguridad, los derechos y privilegios, características de las conexiones a las redes internas y externas, mensajes de aviso y notificación, etc. Una política de responsabilidad que defina las responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.) Una política de autenticación que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticación remota o el uso de dispositivos de autenticación.
  • 83. Política de Seguridad Componentes de una buena política de seguridad (RFC 2196), cont. Una declaración de disponibilidad, que aclare las expectativas de los usuarios en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en la red, etc. Una política de mantenimiento que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc. Una política de comunicación de violaciones que defina qué tipos de amenazas, y cómo y a quién se deben comunicar. Información de apoyo que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.