Seguridad de las redes
SEGURIDAD DE LAS REDES
M2 – Herramientas básicas de la seguridad de la redes
e-mail: [email protected]
Seguridad de las redes
Las bases técnicas de las redes
Herramientas básicas de la seguridad de las redes
Gestión de la seguridad de lasredes en empresa
M1
M2
M3
Seguridad de las redes
M1
M2
M3
Herramientas básicas de la seguridad de las redes
Las bases técnicas de las redes
• Tipos de ataque.• NAT, DMZ y firewall.• Proxy y filtrado.• Cifrado y VPN, Ipsec.• Equipos de compresión de datos.• Disponibilidad y Redundancia.• SNMP y otras ofertas de vigilancia.• Seguridad en Wifi.• Utilización asegurada del Wifi en empresa y
para la movilidad profesional.• Utilización asegurada de las redes
telefónicas para la movilidad profesional.
Gestión de la seguridad de lasredes en empresa
Seguridad de las redes
Tipos de ataque.
•Ataques externos:
EMPRESAPROVEEDOR
Defecto del OSo aplicativo, “backdoors”.
Deny Of Service (DOS).
Puerto abierto, punto deentrada non protegido.
SocialEngineering.
Seguridad de las redes
Tipos de ataque.
•Ataques internos:
EMPRESAPROVEEDOR
Desvió deflujos
Spoofing
Defecto del OSo aplicativo, “backdoors”.
Deny Of Service (DOS).
Invasión,piratería,destrucción
Seguridad de las redes
•Defecto del OS o aplicativo, backdoors:Utilización de bug o puntos de control en los productos para controlar, perturbar o explorar (computadores o equipos de red).Datos Avanzados: Sql injection, Cross site scripting (Xss), Cross Site Tracing (Xst), Cross Site request Forgeries (Xsrf), Buffer overflow, heap overflow, Shellcode, Stack Overflow vulnerabilities.
•Deny Of Service (DOS):Ataque masivo sobre un equipo para bloquear su funcionamiento por saturación.Datos Avanzados: SYN Flood, DDS, DDOS, Botnets, Ping Flood, UDP Flood, Smurfing, Mail Bombing, DHCP starvation attack.
•Social Engineering (ingeniera social):Contactar un usuario y utilizar conocimientos sobre la organización de la empresa y los empleados para aprender su contraseña e informaciones confidenciales.
Seguridad de las redes
•Spoofing:Substituir su computador al sitio que quiere visitar el usuario.Datos avanzados: IP Spoofing, Phishing, Mitnik attack, SYN Cookies, Man-In-The-Middle attack, DNS Id Spoofing, DNS Cache Poisoning.
•Desvió de flujos:Perturbar una comunicación entre 2 equipos para recuperarla o para bloquearla.Datos avanzados: ARP Poisoning, TCP Synchronisation.
•Invasión, piratería, destrucción:Acceso ilegal a los datos de los computadores.Datos avanzados: Backdoor, virus, trojan horse, worm, logicalbomb, keylogger, sniffer, Netscanner, exploit, rootkit.
Seguridad de las redes
Ejemplo de ataque : DHCP Starvation.Servidor DHCP
1 - Un usuario ejecuta el programa pirata recibido en un correo o por transferencia de fichero.
2 - El programa envia falsas peticiones DHCP para vaciar la reserva de direcciones IP del servidor.
Reserva direcciones IP
Servidor DHCP
Reserva direcciones IP
3 - Cuando los otros usuarios necesitan direcciones IP, no hay mas disponible para permitir el trabajo.
Servidor DHCP
Reserva direcciones IP
?
Seguridad de las redes
Ejemplo de ataque : ARP poisoning.
Ejemplos de “exploit”: Cain & ABEL, Dsniff, Ettercap, Parasite, WinArpSpoofer
1 - Un usuario, para comunicar con un servidor, genera una peticion de tipo ARP para recuperar su direccion IP.
2 - El computador del pirata, conectado a la red interna, envia su IP a cada computador con falsas repuestas ARP. De esta manera, todas las comunicaciones entre el servidor y el usuario pasan primero por la maquina del pirata.
Seguridad de las redes
Ejemplo de ataque : SYN flood.
Este tipo de ataque puede utilizar también flujos de correos (mail bombing), peticiones ICMPEchoRequest (Ping Flood) o mensajes UDP Echo (UDP Flood).
1 - Un “botnet” es transmitido a una grande cantidad de computadores (por correo por ejemplo, como un virus).
2 - Al mismo momento, todos estos computadores empezan a mandar peticciones IP SYN sin ACK a un servidor blanco, bloqueando su funcionamiento y provocando una saturacion de la memoria por las sesiones Three way Handshake abiertas.
Servidor blanco
Servidor blanco
Seguridad de las redes
Ejemplo de ataque : Smurfing con IP Spoofing.
1 - Una petición ICMP EchoRequest(ping por ejemplo) es transmitida a una grande cantidad de computadores por una maquina utilizando la dirección IPusurpada del servidor blanco (IPSpoofing). Un “broadcast” puede ser utilizado para eso.
2 - Todos estos computadores mandan sus repuestas al servidor blanco, bloqueando su funcionamiento.
Servidor blanco
Servidor blanco
Seguridad de las redes
Ejemplo de ataque : Stack Overflow.Servidor WEB (publico o Extranet)
1 - El pirata se conecta a un servidor Web de la empresa y recibe un formulario HTTP para llenar.
Servidor WEB (publico o Extranet)
2 - El pirata ingresa en el formulario codigos ASCII incorrectos o cadenas de textos muy grandes.
Servidor WEB (publico o Extranet)
3 - A la recepción del formulario, el servidor encuentra un error y la aplicación se termina.
CRASH
Seguridad de las redes
Ejemplo de ataque : SQL Injection. Servidor WEB
1 - Para validar una contraseña, un servidor WEB utiliza una orden SQL.
Servidor SQL
sqlQuery = “SELECT ID, LastLogin FROM Users WHERE User = ‘ “ + userName + “ ‘ AND Password = ‘ “ + password + “ ‘ “
Servidor WEB2 - El pirata ingresa valores de
contraseña diseñados para generar una orden SQL siempre verdadera.
Servidor SQL
User: ‘ OR 1=1 - -Password:
Servidor WEB Servidor SQL3 - La orden SQL devuelve la lista completa de los usuarios autorizados. Muchas aplicaciones consideran esta respuesta como valida para dejar entrar el usuario. SELECT ID, LastLogin FROM Users WHERE User = ‘ ’ OR 1=1 - - AND Password = ‘ ‘
Seguridad de las redes
Ejemplo de ataque : Cross Site Scripting.
Servidor WEB1 - El pirata utiliza los formularios de informaciones del servidor para enviar datos al formato HTML(con tags y código ejecutable). Estos datos son transmitidos al servidor SQL para conservación.
Servidor SQL
Servidor WEB Servidor SQL2 - El pirata pregunta una
modificación de sus datos. El servidor SQL los manda al servidor Web. Si no tiene un control sobre los datos, este servidor puede tratar ellos como ordenes y ejecutar el código.
Seguridad de las redes
Ejemplo de ataque : Cross Site Tracing.Servidor WEBcomprometido1 - Un usuario consulta un sitio Web
comprometido y ejecuta un scriptmandado por este servidor.
2 - El script manda una petición HTTP TRACE a los últimos servidores Web consultados por el usuario. Automáticamente, los cookies asociados a cada sitio son añadidos.
3 - Estos servidores contestan con una copia de los cookies del usuario. El script puede extraer los datos de identificación de los cookies y enviarlos al servidor comprometido.
Servidor WEBblanco
Servidor WEBcomprometido
Servidor WEBblanco
Servidor WEBcomprometido
Servidor WEBblanco
Seguridad de las redes
Ejemplo de ataque : DNS Id SPOOFING.
Enrutador cargado con un firmware modificado. Ejemplo: http://www.openwrt.org- Enrutador comprado a
un particular.- Enrutador sin password.- Enrutador con password
descifrado.
Seguridad de las redes
Puesto cliente con fichero HOSTS alterado por un “malware”.
HOSTS
www.mybank.com xxx.xxx.xxx.xxx
Seguridad de las redes
Ejemplos de software.
Seguridad de las redes
Seguridad de las redes
Seguridad de las redes
Seguridad de las redes
Ejemplo de logoa cargar para crear correos de tipo PHISHING.
Seguridad de las redes
Perfil típico de los piratas (TrendNet 2006).
•Hombre.
•Entre 14 y 30 años.
•Adicto a la informática.
•Sin novia o relaciones estables.
•Ejemplo: Jeanson James Ancheta (California).- 20 años, arrestado el 4 de Noviembre 2005.- Creo un Botnet para controlar 400000 computadores.- Alquilaba su Botnet para hacer DOS ataques (US Marine,
Naval Air Warfare, China Lake…).- Ganancia: 60000$ por mes.
Seguridad de las redes
Taller
Estudio del reporte IC3 2007
Seguridad de las redes
SOLUCIONES
Seguridad de las redes
Utilización de un Firewall, creación de una DMZ (Zona DesMilitarizada)
Acceso publico
Nivel de seguridad medio
Acceso privado
Nivel de seguridad alto por cifrado y firma
digital.
(VPN : Virtual PrivateNetwork)
NAT
Sobre condicio
nes
Seguridad de las redes
Puertos TCP/UDP y Firewall
•Ejemplo de utilización practica: el filtrado en un Firewall para el control de los accesos a los servidores:
Seguridad de las redes
Firewall y protocolo NAT
•Network Address Translation.•Modificación en tiempo real de la dirección IP contenida en los
paquetes enviados, con preservación de la dirección original.•Utilizaciones clásicas:- Interconexión de redes con el mismo numero.- Compartir una sola dirección publica para el acceso Internet de todos los
computadores de una red.•Consecuencia de seguridad: los computadores de la red son
inaccesibles por falta de dirección IP publica.
Seguridad de las redes
Utilización de un servidor PROXY para el filtrado de los accesos de los usuarios y para optimizar la consultación de sitios WEB:
El PROXY puede- Verificar y prohibir las direcciones de sitios consultados.- Autorizar únicamente los usuarios con contraseña.- Cargar las paginas WEB antes que los usuarios las necesiten.
Seguridad de las redes
Taller
Análisis del programa Firewallintegrado a Windows
El protocolo NAT
Seguridad de las redes
Cifrado y VPN
Utilización de métodos de cifrado en una PKI (Public KeyInfrastructure) para establecer vínculos de tipo VPN (Private Virtual Network).
Túnel VPN
Persona en la casa o viajando con programa
de VPN y acceso Internet
Seguridad de las redes
Equipos de compresión de datos
•Se instalan a los 2 extremidades de una comunicación.
•Permiten hasta 80% de compresión de datos según la naturaleza del flujo => datos incomprensibles sin el equipo (seguridad débil).
•Ejemplo:
Seguridad de las redes
Taller
Demostración de un acceso VPN
IPsec
Seguridad de las redes
Disponibilidad de las líneas permanentesde datos.•Red local: espina dorsal y ramas (por cable y inalámbricas).•Casa Matriz – Filiales.• Inter-filiales.•Empresa – Sobre contratistas o Proveedores.•Empresa – Clientes.
•Soluciones:- Sistemas de socorro, de backup (a precios y capacidades degradados).- Garantías de plazo de restablecimiento por los proveedores.- Redundancia de los equipos, líneas y conocimientos.- Utilización del acceso Internet con tecnología VPN.- Utilización de tecnologías conmutadas (ISDN, Frame Relay).
Seguridad de las redes
•Ejemplo:
Casa Matriz
Filial
VPN
Fabrica
Logística (depósitos)
ISDN
Acceso Principal
Acceso de Socorro
Seguridad de las redes
Disponibilidad del acceso Internet.•Correos electrónicos.•Utilización de Internet para la consultación.•Utilización de los Extranet (proveedores, sobre contratistas,
clientes).•Extranet y recursos en la Zona Desmilitarizada (DMZ).•VPN.
VPN
Seguridad de las redes
•Soluciones:- Sistemas de socorro, de backup (a precios y capacidades degradados).- Redundancia de los equipos, líneas y conocimientos.- Accesos Internet públicos a proximidad (Wifi, Wimax).- Garantías de plazo de restablecimiento por los proveedores.- Utilización de los accesos Internet privados con VPN.- Buzones de correos electrónicos públicos (gmail, yahoo, hotmail…).
•Ejemplo:
Seguridad de las redes
Disponibilidad de las líneas permanentesde voz.•Teléfonos.•Fax.•Video-conferencia.
•Soluciones:- Garantías de plazo de restablecimiento por los proveedores.- Red de celulares de socorro (redes publicas).- Fax, teléfono públicos a proximidad.- ToIP y VoIP.
Red TCP/IP local
Teléfono ip
Centro de distribución telefónico IP
(concentrador telefónico)
Teléfono clásico
Software detelefonía
PBX ipProveedor de servicios VoIP
Seguridad de las redes
•Ejemplo:
LINKSYS SPA921Teléfono IP
LINKSYS SPA901Teléfono IP
Celular WifiNokia N80
LINKSYS PAP2Adaptador VoIp
LINKSYS WRTSL54GSAdaptador VoIp
PBX IP
Seguridad de las redes
Soluciones humanas: organización y comunicación.
•Cambios periódicos de contraseña.•Política de gestión de contraseña y de derechos.•Sensibilización de los colaboradores.•Testos de intrusión, sistemas “Honeypots”.•Auditorias de seguridad.•Política de actualización de los software y equipamientos
expuestos o no.•Control de los visitantes, prohibir las conexiones directas de
portátiles extranjeros.•Control del acceso a las salas de reuniones y locales
equipados de puntos de conexiones.•Vigilancia con las redes inalámbricas.
Seguridad de las redes
Vigilancia de las redes:• Los diferentes equipos pueden ser equipado de un protocolo de vigilancia (se cambian en agentes), para informar una plataforma central de los problemas encontrados en cada parte de la red:- Comunicaciones interrumpidas.- Perdida de caudal.- Conflictos de rutas.
• El protocolo el mas conocido para hacer eso es SNMP (Simple NetworkManagement Protocol), y la plataforma la mas vendida es HP Openview.
Seguridad de las redes
Taller
El protocolo SNMP
Seguridad de las redes
Seguridad de la redes WIFI (802.11x)
• Identificador de red.Para conectarse, un equipo debe conocer el nombre de la red : SSID (Service Set Identifier). Es posible de no enviar automáticamente este valor.
• Contraseña.
• Control sobre la dirección MAC.
• Emisor WIFI con funcionalidades de Firewall.
• Cifrado integrado en el emisor Wifi.Tecnología WEP (Wired Equivalent Privacy) y WAP (Wifi ProtectedAccess).
Seguridad de las redes
Ejemplo de utilización en empresa : acceso Internet en las salas de reuniones.
Seguridad de las redes
Ejemplo de utilización en empresa : movilidad profesional
Red privada del aeropuerto
Servidores privadosde la empresa
VPN
VPN
Servidores públicosde la empresa
Acce
so cl
ásico
Seguridad de las redes
Utilización asegurada de las redes telefónicas para movilidad profesional
Red privada del proveedorde servicios telefónicos
Servidores privadosde la empresa
VPN
VPN
Servidores públicosde la empresa
Acces
o clás
ico
GSMGPRSUMTS
Computadores con tarjeta de red telefónica
Seguridad de las redes
Taller
Demostración de la configuración de una red inalámbrica a la casa
Demostración de movilidad profesional con un celular