seguridad de las redes m2 – herramientas básicas … · o aplicativo, “backdoors”. deny of...

Seguridad de las redes

SEGURIDAD DE LAS REDES

M2 – Herramientas básicas de la seguridad de la redes

e-mail: [email protected]


Las bases técnicas de las redes

Herramientas básicas de la seguridad de las redes

Gestión de la seguridad de lasredes en empresa

M1

M2

M3


M1

M2

M3

Herramientas básicas de la seguridad de las redes

Las bases técnicas de las redes

• Tipos de ataque.• NAT, DMZ y firewall.• Proxy y filtrado.• Cifrado y VPN, Ipsec.• Equipos de compresión de datos.• Disponibilidad y Redundancia.• SNMP y otras ofertas de vigilancia.• Seguridad en Wifi.• Utilización asegurada del Wifi en empresa y

para la movilidad profesional.• Utilización asegurada de las redes

telefónicas para la movilidad profesional.

Gestión de la seguridad de lasredes en empresa


Tipos de ataque.

•Ataques externos:

EMPRESAPROVEEDOR

Defecto del OSo aplicativo, “backdoors”.

Deny Of Service (DOS).

Puerto abierto, punto deentrada non protegido.

SocialEngineering.


Tipos de ataque.

•Ataques internos:

EMPRESAPROVEEDOR

Desvió deflujos

Spoofing

Defecto del OSo aplicativo, “backdoors”.

Deny Of Service (DOS).

Invasión,piratería,destrucción


•Defecto del OS o aplicativo, backdoors:Utilización de bug o puntos de control en los productos para controlar, perturbar o explorar (computadores o equipos de red).Datos Avanzados: Sql injection, Cross site scripting (Xss), Cross Site Tracing (Xst), Cross Site request Forgeries (Xsrf), Buffer overflow, heap overflow, Shellcode, Stack Overflow vulnerabilities.

•Deny Of Service (DOS):Ataque masivo sobre un equipo para bloquear su funcionamiento por saturación.Datos Avanzados: SYN Flood, DDS, DDOS, Botnets, Ping Flood, UDP Flood, Smurfing, Mail Bombing, DHCP starvation attack.

•Social Engineering (ingeniera social):Contactar un usuario y utilizar conocimientos sobre la organización de la empresa y los empleados para aprender su contraseña e informaciones confidenciales.


•Spoofing:Substituir su computador al sitio que quiere visitar el usuario.Datos avanzados: IP Spoofing, Phishing, Mitnik attack, SYN Cookies, Man-In-The-Middle attack, DNS Id Spoofing, DNS Cache Poisoning.

•Desvió de flujos:Perturbar una comunicación entre 2 equipos para recuperarla o para bloquearla.Datos avanzados: ARP Poisoning, TCP Synchronisation.

•Invasión, piratería, destrucción:Acceso ilegal a los datos de los computadores.Datos avanzados: Backdoor, virus, trojan horse, worm, logicalbomb, keylogger, sniffer, Netscanner, exploit, rootkit.


Ejemplo de ataque : DHCP Starvation.Servidor DHCP

1 - Un usuario ejecuta el programa pirata recibido en un correo o por transferencia de fichero.

2 - El programa envia falsas peticiones DHCP para vaciar la reserva de direcciones IP del servidor.

Reserva direcciones IP

Servidor DHCP


3 - Cuando los otros usuarios necesitan direcciones IP, no hay mas disponible para permitir el trabajo.

Servidor DHCP


?


Ejemplo de ataque : ARP poisoning.

Ejemplos de “exploit”: Cain & ABEL, Dsniff, Ettercap, Parasite, WinArpSpoofer

1 - Un usuario, para comunicar con un servidor, genera una peticion de tipo ARP para recuperar su direccion IP.

2 - El computador del pirata, conectado a la red interna, envia su IP a cada computador con falsas repuestas ARP. De esta manera, todas las comunicaciones entre el servidor y el usuario pasan primero por la maquina del pirata.


Ejemplo de ataque : SYN flood.

Este tipo de ataque puede utilizar también flujos de correos (mail bombing), peticiones ICMPEchoRequest (Ping Flood) o mensajes UDP Echo (UDP Flood).

1 - Un “botnet” es transmitido a una grande cantidad de computadores (por correo por ejemplo, como un virus).

2 - Al mismo momento, todos estos computadores empezan a mandar peticciones IP SYN sin ACK a un servidor blanco, bloqueando su funcionamiento y provocando una saturacion de la memoria por las sesiones Three way Handshake abiertas.

Servidor blanco

Servidor blanco


Ejemplo de ataque : Smurfing con IP Spoofing.

1 - Una petición ICMP EchoRequest(ping por ejemplo) es transmitida a una grande cantidad de computadores por una maquina utilizando la dirección IPusurpada del servidor blanco (IPSpoofing). Un “broadcast” puede ser utilizado para eso.

2 - Todos estos computadores mandan sus repuestas al servidor blanco, bloqueando su funcionamiento.

Servidor blanco

Servidor blanco


Ejemplo de ataque : Stack Overflow.Servidor WEB (publico o Extranet)

1 - El pirata se conecta a un servidor Web de la empresa y recibe un formulario HTTP para llenar.

Servidor WEB (publico o Extranet)

2 - El pirata ingresa en el formulario codigos ASCII incorrectos o cadenas de textos muy grandes.

Servidor WEB (publico o Extranet)

3 - A la recepción del formulario, el servidor encuentra un error y la aplicación se termina.

CRASH


Ejemplo de ataque : SQL Injection. Servidor WEB

1 - Para validar una contraseña, un servidor WEB utiliza una orden SQL.

Servidor SQL

sqlQuery = “SELECT ID, LastLogin FROM Users WHERE User = ‘ “ + userName + “ ‘ AND Password = ‘ “ + password + “ ‘ “

Servidor WEB2 - El pirata ingresa valores de

contraseña diseñados para generar una orden SQL siempre verdadera.

Servidor SQL

User: ‘ OR 1=1 - -Password:

Servidor WEB Servidor SQL3 - La orden SQL devuelve la lista completa de los usuarios autorizados. Muchas aplicaciones consideran esta respuesta como valida para dejar entrar el usuario. SELECT ID, LastLogin FROM Users WHERE User = ‘ ’ OR 1=1 - - AND Password = ‘ ‘


Ejemplo de ataque : Cross Site Scripting.

Servidor WEB1 - El pirata utiliza los formularios de informaciones del servidor para enviar datos al formato HTML(con tags y código ejecutable). Estos datos son transmitidos al servidor SQL para conservación.

Servidor SQL

Servidor WEB Servidor SQL2 - El pirata pregunta una

modificación de sus datos. El servidor SQL los manda al servidor Web. Si no tiene un control sobre los datos, este servidor puede tratar ellos como ordenes y ejecutar el código.


Ejemplo de ataque : Cross Site Tracing.Servidor WEBcomprometido1 - Un usuario consulta un sitio Web

comprometido y ejecuta un scriptmandado por este servidor.

2 - El script manda una petición HTTP TRACE a los últimos servidores Web consultados por el usuario. Automáticamente, los cookies asociados a cada sitio son añadidos.

3 - Estos servidores contestan con una copia de los cookies del usuario. El script puede extraer los datos de identificación de los cookies y enviarlos al servidor comprometido.

Servidor WEBblanco

Servidor WEBcomprometido

Servidor WEBblanco

Servidor WEBcomprometido

Servidor WEBblanco


Ejemplo de ataque : DNS Id SPOOFING.

Enrutador cargado con un firmware modificado. Ejemplo: http://www.openwrt.org- Enrutador comprado a

un particular.- Enrutador sin password.- Enrutador con password

descifrado.


Puesto cliente con fichero HOSTS alterado por un “malware”.

HOSTS

www.mybank.com xxx.xxx.xxx.xxx


Ejemplos de software.


Ejemplo de logoa cargar para crear correos de tipo PHISHING.

http://pixhost.eu/avaxhome/big_show.php?/avaxhome/2008-05-10/phishingBsmlR1W_orig.jpg


Perfil típico de los piratas (TrendNet 2006).

•Hombre.

•Entre 14 y 30 años.

•Adicto a la informática.

•Sin novia o relaciones estables.

•Ejemplo: Jeanson James Ancheta (California).- 20 años, arrestado el 4 de Noviembre 2005.- Creo un Botnet para controlar 400000 computadores.- Alquilaba su Botnet para hacer DOS ataques (US Marine,

Naval Air Warfare, China Lake…).- Ganancia: 60000$ por mes.


Taller

Estudio del reporte IC3 2007


SOLUCIONES


Utilización de un Firewall, creación de una DMZ (Zona DesMilitarizada)

Acceso publico

Nivel de seguridad medio

Acceso privado

Nivel de seguridad alto por cifrado y firma

digital.

(VPN : Virtual PrivateNetwork)

NAT

Sobre condicio

nes


Puertos TCP/UDP y Firewall

•Ejemplo de utilización practica: el filtrado en un Firewall para el control de los accesos a los servidores:


Firewall y protocolo NAT

•Network Address Translation.•Modificación en tiempo real de la dirección IP contenida en los

paquetes enviados, con preservación de la dirección original.•Utilizaciones clásicas:- Interconexión de redes con el mismo numero.- Compartir una sola dirección publica para el acceso Internet de todos los

computadores de una red.•Consecuencia de seguridad: los computadores de la red son

inaccesibles por falta de dirección IP publica.


Utilización de un servidor PROXY para el filtrado de los accesos de los usuarios y para optimizar la consultación de sitios WEB:

El PROXY puede- Verificar y prohibir las direcciones de sitios consultados.- Autorizar únicamente los usuarios con contraseña.- Cargar las paginas WEB antes que los usuarios las necesiten.


Taller

Análisis del programa Firewallintegrado a Windows

El protocolo NAT


Cifrado y VPN

Utilización de métodos de cifrado en una PKI (Public KeyInfrastructure) para establecer vínculos de tipo VPN (Private Virtual Network).

Túnel VPN

Persona en la casa o viajando con programa

de VPN y acceso Internet


Equipos de compresión de datos

•Se instalan a los 2 extremidades de una comunicación.

•Permiten hasta 80% de compresión de datos según la naturaleza del flujo => datos incomprensibles sin el equipo (seguridad débil).

•Ejemplo:


Taller

Demostración de un acceso VPN

IPsec


Disponibilidad de las líneas permanentesde datos.•Red local: espina dorsal y ramas (por cable y inalámbricas).•Casa Matriz – Filiales.• Inter-filiales.•Empresa – Sobre contratistas o Proveedores.•Empresa – Clientes.

•Soluciones:- Sistemas de socorro, de backup (a precios y capacidades degradados).- Garantías de plazo de restablecimiento por los proveedores.- Redundancia de los equipos, líneas y conocimientos.- Utilización del acceso Internet con tecnología VPN.- Utilización de tecnologías conmutadas (ISDN, Frame Relay).


•Ejemplo:

Casa Matriz

Filial

VPN

Fabrica

Logística (depósitos)

ISDN

Acceso Principal

Acceso de Socorro


Disponibilidad del acceso Internet.•Correos electrónicos.•Utilización de Internet para la consultación.•Utilización de los Extranet (proveedores, sobre contratistas,

clientes).•Extranet y recursos en la Zona Desmilitarizada (DMZ).•VPN.

VPN


•Soluciones:- Sistemas de socorro, de backup (a precios y capacidades degradados).- Redundancia de los equipos, líneas y conocimientos.- Accesos Internet públicos a proximidad (Wifi, Wimax).- Garantías de plazo de restablecimiento por los proveedores.- Utilización de los accesos Internet privados con VPN.- Buzones de correos electrónicos públicos (gmail, yahoo, hotmail…).

•Ejemplo:


Disponibilidad de las líneas permanentesde voz.•Teléfonos.•Fax.•Video-conferencia.

•Soluciones:- Garantías de plazo de restablecimiento por los proveedores.- Red de celulares de socorro (redes publicas).- Fax, teléfono públicos a proximidad.- ToIP y VoIP.

Red TCP/IP local

Teléfono ip

Centro de distribución telefónico IP

(concentrador telefónico)

Teléfono clásico

Software detelefonía

PBX ipProveedor de servicios VoIP


•Ejemplo:

LINKSYS SPA921Teléfono IP

LINKSYS SPA901Teléfono IP

Celular WifiNokia N80

LINKSYS PAP2Adaptador VoIp

LINKSYS WRTSL54GSAdaptador VoIp

PBX IP

http://www-co.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=CO%2FLayout&cid=1142447030816&pagename=Linksys%2FCommon%2FVisitorWrapper&lid=3081626492B01


Soluciones humanas: organización y comunicación.

•Cambios periódicos de contraseña.•Política de gestión de contraseña y de derechos.•Sensibilización de los colaboradores.•Testos de intrusión, sistemas “Honeypots”.•Auditorias de seguridad.•Política de actualización de los software y equipamientos

expuestos o no.•Control de los visitantes, prohibir las conexiones directas de

portátiles extranjeros.•Control del acceso a las salas de reuniones y locales

equipados de puntos de conexiones.•Vigilancia con las redes inalámbricas.


Vigilancia de las redes:• Los diferentes equipos pueden ser equipado de un protocolo de vigilancia (se cambian en agentes), para informar una plataforma central de los problemas encontrados en cada parte de la red:- Comunicaciones interrumpidas.- Perdida de caudal.- Conflictos de rutas.

• El protocolo el mas conocido para hacer eso es SNMP (Simple NetworkManagement Protocol), y la plataforma la mas vendida es HP Openview.


Taller

El protocolo SNMP


Seguridad de la redes WIFI (802.11x)

• Identificador de red.Para conectarse, un equipo debe conocer el nombre de la red : SSID (Service Set Identifier). Es posible de no enviar automáticamente este valor.

• Contraseña.

• Control sobre la dirección MAC.

• Emisor WIFI con funcionalidades de Firewall.

• Cifrado integrado en el emisor Wifi.Tecnología WEP (Wired Equivalent Privacy) y WAP (Wifi ProtectedAccess).


Ejemplo de utilización en empresa : acceso Internet en las salas de reuniones.


Ejemplo de utilización en empresa : movilidad profesional

Red privada del aeropuerto

Servidores privadosde la empresa

VPN

VPN

Servidores públicosde la empresa

Acce

so cl

ásico


Utilización asegurada de las redes telefónicas para movilidad profesional

Red privada del proveedorde servicios telefónicos

Servidores privadosde la empresa

VPN

VPN

Servidores públicosde la empresa

Acces

o clás

ico

GSMGPRSUMTS

Computadores con tarjeta de red telefónica


Taller

Demostración de la configuración de una red inalámbrica a la casa

Demostración de movilidad profesional con un celular

seguridad de las redes m2 – herramientas básicas … · o aplicativo, “backdoors”. deny of...

Documents