auditoria a

Auditoría Informática

Profesor: Juan Rodrigo Anabalón R.http://es.geocities.com/trichotecene/

Universidad de los LagosSede República

2008

Profesor: Juan Rodrigo Anabalón R. -Auditoría Informática 2

Objetivos Generales

� Administrar funciones de seguridad y auditoría de los Sistemas de Información.


Objetivos Específicos

� Describir los conceptos relacionados con la seguridad en un Sistema de Información.

� Comprender esquemas de seguridad.

� Definir y explicar los diferentes tipos de Auditoría existentes para Sistemas Informáticos.

� Desarrollar la base de un sistema de Seguridad y Auditoría para un Sistema de Información.


Contenidos� 1°unidad: Conceptos Básicos de Seguridad y Auditorí a.� Seguridad Informática.

� Introducción a la seguridad informática.� Esquemas y protocolos de seguridad.� Seguridad en sistemas operativos.� Seguridad en base de datos.� Seguridad en redes de computadores.

� Auditoría Informática.� Introducción a la auditoria de los Sistemas de Información.� Aspectos Generales de la Auditoría de los Sistemas de Información.� Control interno y auditoría informática.� Metodologías de control interno, seguridad y auditoría Informática.� El informe de auditoría.� Organización del Departamento de auditoría informática.� El marco jurídico de la auditoría informática.� Tecnología del auditor informático y códigos éticos.� Auditoría física.� Auditoría de la ofimática.� Auditoría de la dirección.� Auditoría de la explotación.� Auditoría del desarrollo.� Auditoría del mantenimiento.� Auditoría de bases de datos.� Auditoría de técnicas de sistemas.� Auditoría de la calidad.� Auditoría de la seguridad.� Auditoría de Redes.� Auditoría de aplicaciones.� Auditoría informática de EIS/DSS y aplicaciones de simulación.


Metodología

� Clases expositivas.

� Entrega de artículos en clases

� Experiencias de laboratorio�Uso de herramientas de seguridad para

verificación.

�Forencia computacional


Bibliografía� OSSTMM - Open Source Security Testing

Methodology Manual by Pete Herzog.

� Cobit 4. IT Governance Institute.

� Return On Security Investment (ROSI): A Practical Quantitative Model. Wes Sonnenreich.

� The Hacker Highschool project http://www.hackerhighschool.org/

� Security-Enhanced Linux http://www.nsa.gov/selinux/index.cfm


“Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el

resultado de mil batallas”

SunTzu, El Arte de la Guerra


Seguridad InformáticaLa seguridad informática consiste en asegurar que los recursos del sistema de información de una organización sean utilizados de la manera que se decidióy que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentre acreditada .


Antecedentes

� 24 de Junio de 2001El virus CodeRed ya ha producido daños por un valor estimado en 1.200 millones de dólares.

� 14 de Octubre de 2001Tras el atentado a las Torres Gemelas, hackers iraníes mantienen paralizad buena parte de la red informática que brinda servicios a General Electric.

� 21 de Noviembre de 2001En los EE.UU. atacantes desconocidos entraron en el sitio Web dePlayboy. Consiguieron tener acceso a los datos de los usuarios, incluyendo los números de las tarjetas de crédito


Antecedentes� Hacker chileno robó más de 234 mil dólares a

través de Internet, Se detuvo a Carlos Iván Patuelle (Noticiasdot.com 2003).

� La Policía detuvo a 4 hackers chilenos... Que integraban una de las bandas más importantes del mundo, con más de 8.000 sitios de internet infiltrados, incluidos uno de la Nasa y páginas gubernamentales de Argentina, Bolivia, Colombia, Estados Unidos, Israel, Perú, Turquía y Venezuela (noticias 24.com 2006).

� MAS TODOS LOS QUE SE DESCONOCEN


Seguridad Informática

� No es solo un valor agregado.

� Es un estilo de vida.

� La seguridad informática no es solo un

� problema de computadores, informáticos, computines o nerdz.

� La Internet es un medio hostil por naturaleza.


Principios de la Seguridad Informática

� Disponibilidad

� Integridad

� Confidencialidad


Disponibilidad

� INTERRUPCION� El mensaje no puede llegar a su destino, un recurso

del sistema es destruido o temporalmente inutilizado.

� Este es un ataque contra la Disponibilidad� Ejemplos: Destrucción de una pieza de hardware,

cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.


Integridad

� MODIFICACION

� La persona sin autorización, además de lograr el acceso, modifica el mensaje.

� Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.


Confidencialidad

� INTERCEPCION

� Una persona, computador o programa sin autorización previa logra el acceso a uno o mas recursos controlados.

� Ejemplos: Escuchas electrónicas, copias ilícitas de programas o datos, escalamiento de privilegios.


Autenticidad

� FABRICACION� Una persona sin autorización inserta objetos falsos

en el sistema.

� Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc...

� Es muy difícil estar seguro de quién esta al otro lado de la línea.


Protocolos

� Conceptos básicos de redes


Topologías� Con estos dispositivos se pueden crear redes de área

local o LAN (Local Area Network).

� Las redes son creadas para tener una comunicación eficaz, compartir recursos, permitir comunicaciones por voz, Internet etc.


Tipos de Redes

� Bus: se tienen todos los ordenadores conectados a un único medio de transmisión que a su vez está conectado a unas terminaciones a ambos lados. Todos los ordenadores se ven entre sí.

� Anillo: Se conecta un ordenador al siguiente, y el último al primero, de esta manera sólo se ve un ordenador con el contiguo.

� Estrella: Se conectan todos los terminales a un único punto central y es éste el que se encarga de retransmitir la información.

� Estrella: Se logra si se conectan varios puntos centrales entre sí.� Jerárquica: Se concatenan dispositivos a diferentes niveles.


TCP/IP� El modelo TCP/IP fue desarrollado por el

DoD (Department of Defense) de los EUA y DARPA (Defense Advanced Research Project Agency) en la década de los 70. El modelo TCP/IP fue pensado como un estándar abierto para poder conectar dos máquinas cualesquiera, todo el mundo puede utilizarlo y es en el que se basa Internet.


Capas TCP/IP� Aplicación: Es la capa más

cercana al usuario final y la que le proporciona servicios de red. Como es la capa superior, no da servicios a ninguna capa. Es la responsable de traducir los datos de la aplicación, programa, para que puedan ser enviados por la red. Sus funciones se resumen en:� Representación� Codificación� Control de diálogo� Gestión de las aplicaciones de usuario


Capas TCP/IP� Transporte: La capa de transporte

establece, mantiene y termina circuitos virtuales, proporciona mecanismos de control de flujo y permite las retransmisiones y proporciona mecanismos de detección y corrección de errores. La información que le llega de la capa de aplicación la divide formando diferentes segmentos. El direccionamiento se realiza a través de puertos. Sus funcionalidades básicas son:� Fiabilidad� Control de flujo� Corrección de errores� Retransmisión


� IP: Divide los segmentos de la capa de transporte en paquetes y los envía por la red. No proporciona fiabilidad en las conexiones, de esto ya se ocupa la capa de transporte. Realiza un direccionamiento lógico de red mediante las direcciones IP.

Es la capa responsable de proporcionar conectividad entre usuarios. Selecciona la mejor ruta a elegir entre origen y destino.

Capas TCP/IP


� Network Access: Se encarga de controlar el acceso al nivel físico utilizado y enviar la información por el mismo. Transforma a información básica (bits) toda la información que le llega de las capas superiores y la prepara para que se pueda enviar por el medio. El direccionamiento físico de la red lo hace mediante direcciones MAC.

Capas TCP/IP


Protocolos

� Para poder enviar información entre dos máquinas, es necesario que ambas estaciones� hablen el mismo lenguaje para que se entiendan entre ellas. A este lenguaje se le llama� protocolo.� Los protocolos más representativos que figuran en la capa de Aplicación de la pila TCP/IP son:

� File Transfer Protocol (FTP)�� Hypertext Transfer Protocol (HTTP)�� Simple Mail Transfer Protocol (SMTP)�� Domain Name System (DNS)�� Trivial File Transfer Protocol (TFTP)�

� Los protocolos de la capa de Transporte son:� Transport Control Protocol (TCP)�� User Datagram Protocol (UDP)�

� El protocolo más conocido de la capa de Internet es:� Internet Protocol (IP)�

� El protocolo utilizado en la mayoría de redes locales en la capa de Acceso es:� Ethernet


FTP

� FTP (File Transfer Protocol): Es un protocolo de transferencia de archivos entre sistemas conectados a una red TCP basado en la arquitectura cliente-servidor, de manera que desde un equipo cliente nos podemos conectar a un servidor para descargar archivos desde él o para enviarle nuestros propios archivos independientemente del sistema operativo utilizado en cada equipo. El Servicio FTP es ofrecido por la capa de Aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21.

� #man ftp


HTTP

� El protocolo HTTP es para visualizar la mayoría de páginas web de Internet. Sus mensajes se distribuyen como los de correo electrónico. El puerto que se utiliza es el 80.


SMTP

� El protocolo SMTP es un servicio de correo que se basa en el modelo de FTP. Transfiere mensajes de correo entre dos sistemas y provee de notificaciones de correo entrante. El puerto que se utiliza es el 25.


DNS

� El protocolo DNS es el que se encarga de reconocer el nombre de la máquina remota con la que se quiere establecer la conexión y traduce el nombre a su dirección IP. El puerto que se utiliza es el 53.


TFTP

� El protocolo TFTP tiene las mismas funciones que el protocolo FTP pero funciona sobre UDP, con lo que hay mayor rapidez pero menor seguridad y confiabilidad. El puerto que se utiliza es el 69.


TCP� El protocolo TCP establece una conexión lógica entre

puntos finales de la red. Sincroniza y regula el tráfico con lo que se conoce como “Three Way Handshake”. Controla el flujo para que no se pierdan los paquetes y evitar así una congestión en la red. Es un protocolo orientado a conexión.

� Cada vez que se abre una conexión, se crea un canal de comunicación bidireccional en el que ambas aplicaciones pueden enviar y recibir información, es decir, una conexión es full-dúplex.

� ¿Cómo es posible enviar información fiable basándose en un protocolo no fiable?.


Fiabilidad� Cada vez que llega un mensaje se devuelve una confirmación

(acknowledgement) para que el emisor sepa que ha llegado correctamente. Si no le llega esta confirmación pasado un cierto tiempo, el emisor reenvía el mensaje.

� Veamos a continuación la manera más sencilla (aunque ineficiente) de proporcionar una comunicación fiable. El emisor envía un dato, arranca su temporizador y espera su confirmación (ACK). Si recibe su ACK antes de agotar el temporizador, envía el siguiente dato. Si se agota el temporizador antes de recibir el ACK, reenvía el mensaje. Los siguientes esquemas representan este comportamiento:


Fiabilidad

Se usan protocolos más eficientes (ventana deslizante)�


UDP� El protocolo UDP es un protocolo de

transporte no orientado a conexión que intercambia datagramas sin la utilización de ACK ni SYN que se utiliza como acuse de recibo en el caso de TCP. El procesamiento de errores y retransmisiones es soportado por los protocolos de capas superiores.


Ejemplo con TCPdump

Tclient.net.39904 >telnet.com.23: S 733381829:733381829(0) win 8760 <mss 1460> (DF)�

telnet.com.23 >t.client.net.39904: S 1192930639:1192930639(0) ack 733381830 win 1024 <mss 1460> (DF)�

Tclient.net.39904 >telnet.com.23: . Ack 1 win 8760 (DF) �


Puertos cliente y servidor

� Tradicionalmente los puertos de servidores estaban entre el 1 y e l023.

� En Unix, sólo los procesos del root podían abrir estos puertos.

� En este rango están la mayoría de los servicios bien conocidos.

� Actualmente hay muchos más servicios que 1024.


Puertos Efímeros

� Puertos cliente.� Se seleccionan sólo para una conexión en

particular.� Se reutilizan una vez liberada la conexión.� Poseen números superiores a 1023.� En la mayoría de las conexiones servidor y

cliente intercambian datos entre el puerto reconocido del servidor y el efímero del cliente, lo cual se conoce como socket pair.


� Sólo existe una conexión en Internet con una combinación de una IP con puerto.

� Así los servicios de alta demanda como el web usan los puertos estandarizados (80), el servidor web puede reconocer al procedencia del requerimiento desde un mismo host, a través de que la fuente tiene distinto puerto.


Tclient.net.39904 >telnet.com.23: S 733381829: 733381829(0) win 8760 <mss 1460> (DF)�

telnet.com.23 >tclient.net.39904: S 1192930636: 1192930636(9) ack 733381830 win 1024 <mss 1460> (DF) �

Tclient.net.39904 > telnet.com.23: . Ack 1 win 8760 (DF)


� Tclient selecciona el puerto efímero 39904 con el cual se comunica al bien conocido 23 de telnet.

� Posteriormente tclient libera el puerto 39904, mientras el 23 sigue a disposición del servicio telnet en el servidor.


Finalización de la conexión

� Existen dos maneras de finalizar una conexión:�Método educado o elegante.

�Método brusco.


El método elegante

� Uno de los host (cliente o servidor) indica al otro a través de FIN que quiere finalizar la sesión. El host receptor le devuelve un ack (cerrando la mitad de la conexión)�

� La otra parte debe iniciar un FIN y el host que lo recibe debe realizar acuse de recibo para cerrar completamente la conexión.

� Si sólo uno lo realiza se dice que existe un cierre parcial.

� Los dos cerrados operan de forma asíncrona.


Ejemplos

� El cliente inicia el cierre con un FIN y el servidor lleva a cabo un ack:

Tclient.net.39904 >telnet.com.23: F 14:14(0) ack 186 win 8760 (DF)�telnet.com.23 >tclient.net.39904: . Ack 15 win 1024 (DF)�� Luego el servidor inicia un cierre con un FIN y el cliente lleva a

cabo un ack, como sigue:telnet.com.23>tclient.net.39904: F 186:186(0) ack 15 win 1024 (DF)�Tclient.net.39904 >telnet.com.23 . Ack 187 win 8760 (DF)�Conexión finalizada!!


El método brusco

� Este fin abrupto de la conexión se lleva a cabo cuando uno de los host envía un RESET al otro. Esto indica el deseo de finalizar una conexión de forma violenta.

Tclient.net.39904>telnet.com.telnet: R 28:29(0) ack 1 win 8760 (DF) �

Tras este envío no deberían haber más comunicaciones entre las partes en esta conexión.


Transferencia de Datos

� Un ejemplo de transferencia:Tclient.net.39904>telnet.com.23: P 1:28(27) ack 1 win 8760 (DF)�

telnet.com.23>tclient.net.39904: P 1:14(13) ack 1 win 1024

telnet.com.23>tclient.net.39904: P 14:23(9) ack 28 win 1024


� La primera línea muestra a tclient.net enviando 27 bytes de datos, el 28 representa el siguiente byte que se espera enviar.

� Aparece el indicador P (PUSH), como telnet es una aplicación interactiva que solicita la respuesta más rápida posible, el indicador PUSH indica al receptor de los datos, en este caso telnet.com que mande los datos inmediatamente a la aplicación Telnet tras recibirlos en el buffer entrante.


� La segunda línea muestra a telnet.com enviando 13 bytes y acusando recibo de 27 bytes que acaba de recibir.

� La última línea muestra a telnet.com enviando 9 bytes.� El intercambio también acusa el recibo de 27 bytes de

datos que van de tclient.net a telnet .com. � Vemos ack 28 llamado acuse de recibo de expectativa

ya que el byte 28 es el siguiente byte que se espera recibir.


A considerar

� Hay que tener atención respecto a algunos comportamientos generales a considerar, para análisis de tráfico en contextos de seguridad:�¿Se ha completado el protocolo de

intercambio entre los dos hosts?�¿Se han transmitido los datos?�¿Quién ha comenzado y/o finalizado la

conexión?


Sobre Completitud de intercambio

entre hosts

� En caso positivo, significa que le servidor escucha el puerto en el que hizo la petición el cliente y que acepta la conexión.

� ¿pero si no era donde debería escuchar el servidor?, backdoor?


Sobre la transmisión de los datos

� Muchas veces intercambios individuales muy extensos marcan una intrusión, por otro lado también dan a conocer un dimensionamiento sobre la fuga generada.


Sobre el Quién

� Al verificar quien inicia la conexión podemos determinar quien es cliente y quien servidor con facilidad.

� Cualquiera de los host puede terminar la conexión así que se deben observar el protocolo de finalización con RESET o FIN.


Una exploración ACK

� Existen múltiples razones para realizar una exploración.

� Se utiliza para descubrir si un host o varios de ellos ofertan un servicio específico.

� Un hacker utiliza dicha actividad para descubrir un servicio habilitado con alguna debilidad que le permita introducirse dentro del sistema.

� Las exploraciones suelen ser flagrantes, es decir el explorador (hacker) no intenta ocultar su actividad de reconocimiento, excepto si usa una máquina ya comprometida.

� Asume la mayoría de las veces que nadie monitorea la red.


� En otras ocasiones el atacante intenta ser más furtivo (stealth), para evitar que su actividad de scanning sea detectada.


Ejemplo

ACK.com.23 > 192.168.2.112.23: . Ack 778483003 win 1028ACK.com.23 > 192.168.31.4.23: . Ack 778483003 win 1 028ACK.com.143 > 192.168.2.112.143: . Ack 778483003 wi n 1028ACK.com.143 > 192.168.31.4.143: . Ack 778483003 win 1028ACK.com.110 > 192.168.2.112.110: . Ack 778483003 wi n 1028ACK.com.110 > 192.168.31.4.110: . Ack 778483003 win 1028ACK.com.23 > 192.168.14.19.23: . Ack 778483003 win 1028ACK.com.143 > 192.168.14.19.143: . Ack 778483003 wi n 1028ACK.com.110 > 192.168.14.19.110: . Ack 778483003 wi n 1028ACK.com.23 > 192.168.33.53.23: . Ack 778483003 win 1028ACK.com.23 > 192.168.37.3.23: . Ack 914633252 win 1 028ACK.com.23 > 192.168.14.49.23: . Ack 3631132968 win 1028


� ACK.com envía un indicador ACK a varios hosts diferentes de la red 192.168.

� Sólo deberíamos encontrar un ACK, independiente al final de la transmisión de un protocolo de intercambio.

� Podría ser un intento de encontrar host vivos.


� Si un hosts vivo recibe un ACK para un puerto abierto debe responder con RESET.

� Permitiendo pasar por ruteadores que filtran actividad ICMP, y sólo dejan realizar conexiones.

� El que los puertos efímeros para comenzar la conexión estén bajo el 1024 es altamente sospechoso.

� Por otro lado que sean los mismos los puertos de origen y destino es altamente extraño, y da pie a sospechar que el tráfico fue fabricado manualmente.


Una exploración Telnet

scanner.se.45820 >192.168.209.5.23: S 4195942931:4195942935(4) win 4096scanner.se.45820 >192.168.216.5.23: S 4195944723:4195944727(4) win 4096scanner.se.52526 >172.16.68.5.23: S 357331986: 357331990(4) win 4096scanner.se.45820 >192.168.183.5.23: S 4196001810:4196001814(4) win 4096scanner.se.52526 >172.16.248.5.23: S 357331986: 357331990(4) win 4096scanner.se.45820 >192.168.205.55.23: S 357312531:357312535(4) win 4096scanner.se.52526 >172.16.250.5.23: S 4196007442: 4196007446(4) win 4096scanner.se.52526 >172.16.198.5.23: S 357313043: 357313047(4) win 4096scanner.se.52526 >172.16.161.5.23: S 357365266:357365270(4) win 4096


� Es exploración desde scanner a subredes 192.168 y 172.16.

� Parece un intento de encontrar telnet habilitados.

� Los 4 bytes enviados puede ser una buena forma de ocultarle información a un IDS que sólo estudie contenido posterior al handshake.


Secuestro de una sesión TCP

� Existe software para secuestro de sesiones como Hunt y Juggernaut

� Intenta secuestrar una parte de la conexión y llevarla a un host diabólico.

� El problema radica en que los intercambios TCP tienen pocas exigencias de autenticación.


Los host utilizan lo siguiente para

autenticar:

• Número IP: los números IP establecidos de los host no deben cambiar.

• Número de puerto: los puertos no cambian.

• Números de secuencia: los números de secuencia deben cambiar según ISN y al número de bytes enviados.

• Número de acuses de recibo: deben cambia en relación a los números de secuencia.


� Si un usuario hostil puede observar los intercambios de datos e interceptar con éxito una conexión en marcha con todos los parámetros de autentificación configurados adecuadamente, puede secuestrar la sesión.

� El daño estará relacionado con la autoridad de la sesión secuestrada.


Fragmentación

� La fragmentación es usada para enmascarar.� Debido a que varios IDS y unidades de filtrado

no soportan la reconstrucción de paquetes, por lo cual no pueden bloquear este tipo de tráfico.

� Los ataques DoS utilizan tráfico altamente fragmentado, para de esta forma agotar los recursos del sistema.

� La fragmentación puede ser una faceta natural de IP, el secreto es diferenciar la fragmentación normal de una generada artificialmente.


Teoría de Fragmentación

� La fragmentación se produce cuando un datagrama IP viaja por una red con una unidad de transmisión máxima (MTU) que es menor al tamaño del datagrama.

� En Ethernet es de 1500 bytes si este datagrama es mayor y necesita atravesar ethernet será fragmentado por medio de un router.


� También ocurre cuando un host quiere inyectar un paquete que excede la MTU de la red.

� El host destino es el responsable de reconstruir los datos originales.


Datos de Fragmentos

� Todos los fragmentos de un paquete original, usan una identificación común, copiado del encabezado IP (Id de fragmento).

� Deben llevar información sobre su posición en el paquete no fragmentado original.

� Cada fragmento debe llevar información sobre la longitud de los datos transportados.

� Cada fragmento debe portar información sobre si existen más fragmento que le sigan (MF)�


Visualización de Fragmentación

Asumamos que utilizamos Ethernet, en la capa de enlace.

Encabezamiento IP de 20 bytes

1480 bytes de datosencapsulados


� El encabezado IP puede ser más extenso.� aunque normalmente son 20 bytes.


20 8 4000 bytes de datos ICMPDatosICMP

EncabezamientoIP

Encabezamiento ICMP

(petición eco ICMP) �

1500 bytes 1500 bytes 1068 byt es


Número ID de fragmento

� Campo de 16 bits del encabezado IP de cada datagrama, aumenta normalmente de uno en uno por cada datagrama de un hosts particular.

� Al fragmentar el datagrama todos los fragmentos creados contienen el ID de fragmento

ping.com >192.168.244.2: icmp: echo request (ttl 240, id 202 ) �


� Si este datgrama se fragmentara todos sus decendientes debería llevar el 202.

� Estos resultados se pueden obtener con�Tcpdump –vv ( mostrar tiempo de vida del

paquete, y valores de id del fragmento.


Revisando los fragmentos

El primero

20 8 1472

Header header DatosIP ICMP ICMP

Offset=0Longitud=1480Más fragmentos=1

El primer fragmento es el único que tiene header IC MP


En detalle

820 1472 bytes de datos ICMP

Encabezamiento IP Encabezamiento ICMPProtocolo=ICMP Tipo=petición eco ICMPID del fragmento=21223Indicador más fragmentos=1Offset framento=0Longitud de datos=1480


Revisando fragmentos

El segundo


1500 BYTES EN TOTAL, Y NO HAY CABECERA ICMP

Header IP

Protocolo=ICMPID fragmento=21223Offset del fragmento=1480Longitud de datos=1480Más fragmentos=1


Revisando fragmentos

El tercero


Header IP

Protocolo=ICMPID fragmento=21223Offset del fragmento=2960Longitud de datos=1048Más fragmentos=0


Visualización mediante TCPdump

ping.com >myhost.com: icmp: echo request (frag 2122 3:1480@0+) �ping.com>myhost.com: (frag 21223:1480@1480+) �

ping.com>myhost.com: (frag 21223:1048@2960) �

Notación (frag IDfragmento:Longitud@Offset(+) �


Fragmentación y Dispositivos de Filtro

de Paquetes

� El problema del tráfico fragmentado es que sólo el primer paquete contiene el header del protocolo sobre IP.

� Es costoso en tiempo y memoria almacenar paquetes esperando completar para verificar headers.

� TCP y UDP se filtra por puerto, que es información que está sólo en el primer paquete.


Indicador de No fragmentar

� (DF), si aparece esta indicación no debe fragmentarse.

� Si debe pasar por una zona con MTU incompatible con su tamaño el paquete es abortado por el ruteador el cual devuelve un mensaje ICMP de error al remitente.

� El mensaje contendrá la MTU de la red que requiere la fragmentación.


� Algunos host envían datagramas con indicadir DF, para descubrir la MTU de origen a destino. Para luego enviar datagramas de tamaño adecuado, evitando la fragmentación.

� La fragmentación es costosa, por computo adicional, además si se pierde un fragmento se deben enviar todos nuevamente.


� Enrutador.ru >mail.mysite.com: icmp : host.ru ureachable-need to frag (mtu 308) (DF)�


Fragmentación Malintencionada

� Es una de las más recurrentes armas de intrusos.

� Afecta la actividad de detección de IDS, y favorece varios tipos de ataques.


Seguridad en Sistemas operativos� Sistema Operativo: Un sistema operativo

es un programa o conjunto de programas de computadora destinado a permitir una gestión eficaz de sus recursos. Comienza a trabajar cuando se enciende el computador, y gestiona el hardware de la máquina desde los niveles más básicos, permitiendo también la interacción con el usuario.


Qué y Por qué� Riesgo es la posibilidad de que un intruso

pueda intentar acceder con éxito a su equipo.

� La amenaza proviene de alguien que tiene motivos para obtener acceso a su red o equipo sin autorización.

� Usuario Malicioso : tiene las intenciones de: hacer caer su sistema, modificar su página web o cualquier otra cosa que le cueste tiempo y dinero recuperar.


Sistemas Operativos


GNU Linux� Sistema operativo compatible con

unix.� LINUX se distribuye bajo la GNU

Public License.� El código fuente tiene que estar

siempre accesible.� Desarrollados por Linus Torvalds.� Las funciones principales:� Sistema multitarea.� Sistema multiusuario.� Shells programables.� Independencia de dispositivos


GRsecurity

�Kernel patch

�Características� Non-Executable Stack� Change root (chroot) hardening

� /tmp race prevention� Extensive auditing

� Additional randomness in the TCP/IP stack � /proc restrictions


SELinux

� Es una característica de seguridad de Linux que provee una variedad de políticas de seguridad, incluyendo el estilo de acceso a los controles del Departamento de Defensa de Estados Unidos, a través del uso de Módulos de Seguridad en el núcleo de Linux. No es una distribución de Linux, sino un set de modificaciones pueden ser aplicado a un sistema Tipo-Unix como Linux y BSD.


MAC OS X� Mac OS X es un sistema

operativo basado en UNIX, anteriormente conocido por ser el sistema operativo de la familia Macintosh pero donde el gestor de ventanas X11, característico de estos sistemas, ha sido sustituido por otro denominado Aqua, desarrollado íntegramente por Apple.


MS Windows Vista

� Nuevas graficas

� Nuevas características de usuario (desktop search)�

� Nuevas características multimedia

� Advance online services

� Soporte para la creación de podcast


� Control parental.

� Nuevo esfuerzo para el control de malware y otras formas de compromiso.

� User Account Control (UAC) �

� Separa entre usuarios Privilegiados y estándar

� Los usuarios de WV deben aprobar cualquier instalacion o ejecución de código externo.


� Windows Defender

� Protección en tiempo real

� Ayuda a proteger windows de las ventanas emergentes (IE7).

� Proteccion contra spyware cuando lo detecta.

•Windows Backup and Restore Center• Realiza backup y restore de forma simple.• Escoger el día, la hora y la frecuencia con la que se realizaran las copias de seguridad.• Archivos. carpetas y configuración.• Se puede elegir tipos de archivos a respaldar (.mpeg, mov, doc etc.).• La recuperación es sencilla• Se puede recuperar las versiones anteriores de los archivos.


Microsoft’s Security Framework

�� Mensajes claros acerca de la seguridadMensajes claros acerca de la seguridad�� Miembro activo en los foros internacionalesMiembro activo en los foros internacionales

�� Centro de respuesta de seguridadCentro de respuesta de seguridad

�� Arquitectura seguraArquitectura segura�� CaracterCaracter íísticas de seguridadsticas de seguridad�� Calidad en el cCalidad en el c óódigodigo

�� ReducciReducci óón de posibilidad de ataquesn de posibilidad de ataques�� Lo que no se usa no se instalaLo que no se usa no se instala�� Principio del mPrincipio del m íínimo privilegionimo privilegio

�� Proteger, detectar, defender, recuperar, Proteger, detectar, defender, recuperar, gestionargestionar

�� Procesos: Como, GuProcesos: Como, Gu íías arquitecturaas arquitectura�� Gente: FormaciGente: Formaci óónn

Seguro por Seguro por disedise ññoo

Seguro por Seguro por defectodefecto

Seguro en Seguro en desplieguedespliegue

ComunicaciComunicaci óónn


Windows Server 2003

ReducciReducci óón de las vulnerabilidades de n de las vulnerabilidades de ccóódigodigo

�� FormaciFormaci óón, Modelado de n, Modelado de amenazas, Revisiamenazas, Revisi óón de cn de c óódigodigo

�� Mejoras en el proceso de Mejoras en el proceso de desarrollodesarrollo

�� ContabilidadContabilidad

Arquitectura enfocada a la seguridadArquitectura enfocada a la seguridad

IIS RediseIIS Redise ññado ado

Protocolos de autentificaciProtocolos de autentificaci óón n

CLRCLR

Seguro por Seguro por disedise ññoo

Seguro por Seguro por defectodefecto

Seguro en Seguro en desplieguedespliegue

ComunicaciComunicaci óónn


Windows Server 2008

Mejoras Fundamentales

Seguridad Confiabilidad Rendimiento


Windows Server 2008 Roles de Servidor

� Los roles que puede asumir un servidor son los sigu ientes (todosellos asegurados por defecto):� Active Directory Rights Management Services� Hyper-V� Servicios de Acceso y Directivas de Redes� Servicios de Archivo� Servicios de Certificate Server de Active Directory� Servicios de Directorio Ligero de Active Directory� Servicios de Dominio de Active Directory� Servicios de Federación de Active Directory� Servicios de Implementación de Windows (WDS) �


Roles de servidor

• Servicios de Impresión

• Servicios UDDI

• Servidor de Aplicaciones

• Servidor de Fax

• Servidor DHCP

• Servidor DNS

• Servidor Web (IIS 7.0) �

• Terminal Services


OpenBSD� Sistema operativo tipo UNIX� Derivado de NetBSD y

4.4BSD en 1996 por Theo DeRaadt

� Se distingue de Linux por sus fuentes y su licencia

� ‘Libre, Funcional, Seguro’� Base de desarrollo en Calgary� Nueva versión cada 6 meses� Acceso CVS al código fuente� Actualmente en la versión 4.3� Gran colección de ports.• http://www.openbsd.org/


Arquitecturas soportadas

� DEC Alpha � AMD 64 � ARM-based appliances � HP 9000 series 300, 400 � HP Precision Architecture (PA-RISC) � i386 � Landisk � Luna88k � Mac68k � MacPPC � MVME68k � MVME88k � SGI � SPARC � UltraSPARC � DEC VAX � Sharp Zaurus


Características de OpenBSD

� Gestión de bugs� “Seguro por defecto”� Auditado activo del código fuente� Protección de página W^X / ProPolice / Systrace� Separación de privilegios para los demonios� Servicios de comunicación segura� IPSec con ISAKMPd� Soporte para NIDS (Snort)�� PF+AltQ� Cortafuegos/Enrutamiento/Gestión ancho de banda con PF+AltQ


Más características

� Criptografía integrada

� spamd integrado con PF� listas grises de correo

� Emulación de binarios�SVR4, FreeBSD, Linux, BSD/OS, SunOS y

HP-UX


Filosofía

� Seguridad

� Estandarización

� Evolución antes que revolución (!)�

� Limpieza de código

� Documentación


Proyectos relacionados� OpenSSH

� OpenNTPD

� OpenBGPD

� OpenCVS

� Reimplementación vasta mayoría utilidades GNU con licencia BSD


� Extensión de GCC (Compilador GNU C)�

� Disponible para Linux, FreeBSD, OpenBSD y otros…

� El software compilado con GCC+ProPolice tiene protección de pila integrada

� Hace más complicado explotar bugs de desbordamiento de Buffer modificando la forma en la que los datos se almacenan en la pila.


Protección de página X ^ Y

� ‘Escribir o Ejecutar’� Se pueden escribir o ejecutar datos en una página

dada, pero nunca ambas cosas simultaneamente.� Previene a un atacante escribir código arbitrario en

lugares de la memoria donde pudiera ser ejecutado.� Soportado en plataformas Sparc, Sparc64, Alpha,

HPPA, i386 y PowerPC� Soporte nativo en Sparc, Sparc64, Alpha, x86-64� PowerPC y i386 necesitaron hacks espantosos


Systrace

� Políticas de acceso para llamadas al sistemaPolicy: /bin/ls, Emulation: nativenative-munmap: permit[...]native-stat: permitnative-fsread: filename match "/usr/*" then permitnative-fsread: filename eq "/tmp" then permitnative-fsread: filename eq "/etc" then deny[enotdir]native-fchdir: permitnative-fstat: permitnative-fcntl: permit[...]native-close: permitnative-write: permitnative-exit: permit


Hardening de Sistemas Operativos

� Hardening es una acción compuesta por un conjunto de actividades que son llevadas a cabo por el administrador de un sistema operativo para reforzar al máximo posible la seguridad de su equipo.


Hardening

Aunque tecnológicamente se consiguiera un sistema s eguro, el problema sigue existiendo

� Las técnicas criptográficas son computacionalmente seguras, pero los usuarios ...

� No quieren usar passwords de calidad� No quieren u olvidan cifrar archivos y correos� Los descifran y olvidan borrar el archivo en texto claro� Los imprimen y los dejan en ...

� la impresora, la mesa, la papelera, el metro

� La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía.


Por qué

� Por qué?�Agregar características de seguridad que no

están presentes en la instalación por defecto:� Los proveedores proporcionan sistemas abiertos

para mayor facilidad de configuración.

� Parches a nivel de Kernel y Sistemas

�Bugs/Exploits en software.


Como� Parches

� Aplicar parches de seguridad a nivel de sistema operativo.

� Aplicar parches de seguridad en software

� Herramientas de seguridad� Sistemas complementarios de logs y auditoría.

� Políticas de seguridad de sistemas� Restricción de privilegios de usuarios.

� Deshabilitar procesos innecesarios.


Seguridad No Técnica

� Políticas de seguridad

� Plan de seguridad

� Análisis y gestión de riesgos

� Plan de contingencia

� Seguridad física

� Seguridad del personal

� Procedimientos de seguridad


Seguridad Técnica

• Hardening de sistemas• Mecanismos de control de acceso• Antivirus• Criptografía• Firewalls y VPN• Sistemas de Detección de Intrusos• Smart cards• Biometría


Separación de privilegios

� Concepto del privilegio menor.� Separación de los demonios de red en dos niveles� Un proceso ejecutado como root para todo lo que

requiera ese privilegio.� Subprocesos ejecutados como usuario sin privilegios.� Esto minimiza los daños causados por atacantes

remotos.� Ejemplo: sshd, syslogd, pppoe, dhclient, dhcpd…

auditoria a

Documents