SEGURIDAD DE LAS REDES. M2 Herramientas básicas de la seguridad de la redes

Transcripción

1 SEGURIDAD DE LAS REDES M2 Herramientas básicas de la seguridad de la redes

2 M1 Las bases técnicas de las redes M2 Herramientas básicas de la seguridad de las redes M3 Gestión de la seguridad de las redes en empresa

3 M1 M2 M3 Las bases técnicas de las redes Gestión de la seguridad de las redes en empresa Herramientas básicas de la seguridad de las redes Tipos de ataque. NAT, DMZ y firewall. Proxy y filtrado. Cifrado y VPN, Ipsec. Equipos de compresión de datos. Disponibilidad y Redundancia. SNMP y otras ofertas de vigilancia. Seguridad en Wifi. Utilización asegurada del Wifi en empresa y para la movilidad profesional. Utilización asegurada de las redes telefónicas para la movilidad profesional.

4 Tipos de ataque. Ataques externos: Seguridad de las redes Social Engineering. Defecto del OS o aplicativo, backdoors. Deny Of Service (DOS). EMPRESA PROVEEDOR Puerto abierto, punto de entrada non protegido.

5 Tipos de ataque. Ataques internos: Desvió de flujos Defecto del OS o aplicativo, backdoors. Deny Of Service (DOS). Invasión, piratería, destrucción Spoofing EMPRESA PROVEEDOR

6 Defecto del OS o aplicativo, backdoors: Utilización de bug o puntos de control en los productos para controlar, perturbar o explorar (computadores o equipos de red). Datos Avanzados: Sql injection, Cross site scripting (Xss), Cross Site Tracing (Xst), Cross Site request Forgeries (Xsrf), Buffer overflow, heap overflow, Shellcode, Stack Overflow vulnerabilities. Deny Of Service (DOS): Ataque masivo sobre un equipo para bloquear su funcionamiento por saturación. Datos Avanzados: SYN Flood, DDS, DDOS, Botnets, Ping Flood, UDP Flood, Smurfing, Mail Bombing, DHCP starvation attack. Social Engineering (ingeniera social): Contactar un usuario y utilizar conocimientos sobre la organización de la empresa y los empleados para aprender su contraseña e informaciones confidenciales.

7 Spoofing: Substituir su computador al sitio que quiere visitar el usuario. Datos avanzados: IP Spoofing, Phishing, Mitnik attack, SYN Cookies, Man-In-The-Middle attack, DNS Id Spoofing, DNS Cache Poisoning. Desvió de flujos: Perturbar una comunicación entre 2 equipos para recuperarla o para bloquearla. Datos avanzados: ARP Poisoning, TCP Synchronisation. Invasión, piratería, destrucción: Acceso ilegal a los datos de los computadores. Datos avanzados: Backdoor, virus, trojan horse, worm, logical bomb, keylogger, sniffer, Netscanner, exploit, rootkit.

8 Ejemplo de ataque : DHCP Starvation. 1 - Un usuario ejecuta el programa pirata recibido en un correo o por transferencia de fichero. Servidor DHCP Reserva direcciones IP 2 - El programa envia falsas peticiones DHCP para vaciar la reserva de direcciones IP del servidor. 3 - Cuando los otros usuarios necesitan direcciones IP, no hay mas disponible para permitir el trabajo. Servidor DHCP Servidor DHCP Reserva direcciones IP Reserva direcciones IP?

9 Ejemplo de ataque : ARP poisoning. 1 - Un usuario, para comunicar con un servidor, genera una peticion de tipo ARP para recuperar su direccion IP. 2 - El computador del pirata, conectado a la red interna, envia su IP a cada computador con falsas repuestas ARP. De esta manera, todas las comunicaciones entre el servidor y el usuario pasan primero por la maquina del pirata. Ejemplos de exploit : Cain & ABEL, Dsniff, Ettercap, Parasite, WinArpSpoofer

10 Ejemplo de ataque : SYN flood. 1 - Un botnet es transmitido a una grande cantidad de computadores (por correo por ejemplo, como un virus). 2 - Al mismo momento, todos estos computadores empezan a mandar peticciones IP SYN sin ACK a un servidor blanco, bloqueando su funcionamiento y provocando una saturacion de la memoria por las sesiones Three way Handshake abiertas. Servidor blanco Servidor blanco Este tipo de ataque puede utilizar también flujos de correos (mail bombing), peticiones ICMP EchoRequest (Ping Flood) o mensajes UDP Echo (UDP Flood).

11 Ejemplo de ataque : Smurfing con IP Spoofing. 1 - Una petición ICMP EchoRequest (ping por ejemplo) es transmitida a una grande cantidad de computadores por una maquina utilizando la dirección IP usurpada del servidor blanco (IP Spoofing). Un broadcast puede ser utilizado para eso. Servidor blanco 2 - Todos estos computadores mandan sus repuestas al servidor blanco, bloqueando su funcionamiento. Servidor blanco

12 Ejemplo de ataque : Stack Overflow. Servidor WEB (publico o Extranet) 1 - El pirata se conecta a un servidor Web de la empresa y recibe un formulario HTTP para llenar. Servidor WEB (publico o Extranet) 2 - El pirata ingresa en el formulario codigos ASCII incorrectos o cadenas de textos muy grandes. Servidor WEB (publico o Extranet) 3 - A la recepción del formulario, el servidor encuentra un error y la aplicación se termina. CRASH

13 Ejemplo de ataque : SQL Injection. 1 - Para validar una contraseña, un servidor WEB utiliza una orden SQL. Servidor WEB Servidor SQL sqlquery = SELECT ID, LastLogin FROM Users WHERE User = + username + AND Password = + password El pirata ingresa valores de contraseña diseñados para generar una orden SQL siempre verdadera. User: OR 1=1 - - Password: Servidor WEB Servidor SQL 3 - La orden SQL devuelve la lista completa de los usuarios autorizados. Muchas aplicaciones consideran esta respuesta como valida para dejar Servidor WEB Servidor SQL entrar el usuario. SELECT ID, LastLogin FROM Users WHERE User = OR 1=1 - - AND Password =

14 Ejemplo de ataque : Cross Site Scripting. 1 - El pirata utiliza los formularios de informaciones del servidor para enviar datos al formato HTML (con tags y código ejecutable). Estos datos son transmitidos al servidor SQL para conservación. Servidor WEB Servidor SQL 2 - El pirata pregunta una modificación de sus datos. El servidor SQL los manda al servidor Web. Si no tiene un control sobre los datos, este servidor puede tratar ellos como ordenes y ejecutar el código. Servidor WEB Servidor SQL

15 Ejemplo de ataque : Cross Site Tracing. Servidor WEB blanco 1 - Un usuario consulta un sitio Web comprometido y ejecuta un script mandado por este servidor. Servidor WEB comprometido 2 - El script manda una petición HTTP TRACE a los últimos servidores Web consultados por el usuario. Automáticamente, los cookies asociados a cada sitio son añadidos. 3 - Estos servidores contestan con una copia de los cookies del usuario. El script puede extraer los datos de identificación de los cookies y enviarlos al servidor comprometido. Servidor WEB comprometido Servidor WEB comprometido Servidor WEB blanco Servidor WEB blanco

16 Ejemplo de ataque : DNS Id SPOOFING. Enrutador cargado con un firmware modificado. Ejemplo: - Enrutador comprado a un particular. - Enrutador sin password. - Enrutador con password descifrado.

17 Puesto cliente con fichero HOSTS alterado por un malware. HOSTS xxx.xxx.xxx.xxx

18 Ejemplos de software. Seguridad de las redes

19

20

21

22 Ejemplo de logo a cargar para crear correos de tipo PHISHING. Seguridad de las redes

23 Perfil típico de los piratas (TrendNet 2006). Hombre. Entre 14 y 30 años. Adicto a la informática. Sin novia o relaciones estables. Ejemplo: Jeanson James Ancheta (California) años, arrestado el 4 de Noviembre Creo un Botnet para controlar computadores. - Alquilaba su Botnet para hacer DOS ataques (US Marine, Naval Air Warfare, China Lake ). - Ganancia: 60000$ por mes.

24 Taller Estudio del reporte IC3 2007

25 SOLUCIONES

26 Utilización de un Firewall, creación de una DMZ (Zona DesMilitarizada) Sobre condiciones NAT Acceso privado Nivel de seguridad alto por cifrado y firma digital. (VPN : Virtual Private Network) Acceso publico Nivel de seguridad medio

27 Puertos TCP/UDP y Firewall Ejemplo de utilización practica: el filtrado en un Firewall para el control de los accesos a los servidores:

28 Firewall y protocolo NAT Network Address Translation. Modificación en tiempo real de la dirección IP contenida en los paquetes enviados, con preservación de la dirección original. Utilizaciones clásicas: - Interconexión de redes con el mismo numero. - Compartir una sola dirección publica para el acceso Internet de todos los computadores de una red. Consecuencia de seguridad: los computadores de la red son inaccesibles por falta de dirección IP publica.

29 Utilización de un servidor PROXY para el filtrado de los accesos de los usuarios y para optimizar la consultación de sitios WEB: El PROXY puede - Verificar y prohibir las direcciones de sitios consultados. - Autorizar únicamente los usuarios con contraseña. - Cargar las paginas WEB antes que los usuarios las necesiten.

30 Taller Análisis del programa Firewall integrado a Windows El protocolo NAT

31 Cifrado y VPN Seguridad de las redes Utilización de métodos de cifrado en una PKI (Public Key Infrastructure) para establecer vínculos de tipo VPN (Private Virtual Network). Túnel VPN Persona en la casa o viajando con programa de VPN y acceso Internet

32 Equipos de compresión de datos Se instalan a los 2 extremidades de una comunicación. Permiten hasta 80% de compresión de datos según la naturaleza del flujo => datos incomprensibles sin el equipo (seguridad débil). Ejemplo:

33 Taller Demostración de un acceso VPN IPsec

34 Disponibilidad de las líneas permanentes de datos. Red local: espina dorsal y ramas (por cable y inalámbricas). Casa Matriz Filiales. Inter-filiales. Empresa Sobre contratistas o Proveedores. Empresa Clientes. Soluciones: - Sistemas de socorro, de backup (a precios y capacidades degradados). - Garantías de plazo de restablecimiento por los proveedores. - Redundancia de los equipos, líneas y conocimientos. - Utilización del acceso Internet con tecnología VPN. - Utilización de tecnologías conmutadas (ISDN, Frame Relay).

35 Ejemplo: ISDN Filial Casa Matriz Fabrica VPN Acceso Principal Acceso de Socorro Logística (depósitos)

36 Disponibilidad del acceso Internet. Correos electrónicos. Utilización de Internet para la consultación. Utilización de los Extranet (proveedores, sobre contratistas, clientes). Extranet y recursos en la Zona Desmilitarizada (DMZ). VPN. VPN

37 Soluciones: - Sistemas de socorro, de backup (a precios y capacidades degradados). - Redundancia de los equipos, líneas y conocimientos. - Accesos Internet públicos a proximidad (Wifi, Wimax). - Garantías de plazo de restablecimiento por los proveedores. - Utilización de los accesos Internet privados con VPN. - Buzones de correos electrónicos públicos (gmail, yahoo, hotmail ). Ejemplo:

38 Disponibilidad de las líneas permanentes de voz. Teléfonos. Fax. Video-conferencia. Soluciones: - Garantías de plazo de restablecimiento por los proveedores. - Red de celulares de socorro (redes publicas). - Fax, teléfono públicos a proximidad. - ToIP y VoIP. Proveedor de servicios VoIP PBX ip Teléfono ip Centro de distribución telefónico IP (concentrador telefónico) Teléfono clásico Red TCP/IP local Software de telefonía

39 Ejemplo: PBX IP LINKSYS SPA901 Teléfono IP LINKSYS SPA921 Teléfono IP LINKSYS PAP2 Adaptador VoIp LINKSYS WRTSL54GS Adaptador VoIp Celular Wifi Nokia N80

40 Soluciones humanas: organización y comunicación. Cambios periódicos de contraseña. Política de gestión de contraseña y de derechos. Sensibilización de los colaboradores. Testos de intrusión, sistemas Honeypots. Auditorias de seguridad. Política de actualización de los software y equipamientos expuestos o no. Control de los visitantes, prohibir las conexiones directas de portátiles extranjeros. Control del acceso a las salas de reuniones y locales equipados de puntos de conexiones. Vigilancia con las redes inalámbricas.

41 Vigilancia de las redes: Los diferentes equipos pueden ser equipado de un protocolo de vigilancia (se cambian en agentes), para informar una plataforma central de los problemas encontrados en cada parte de la red: - Comunicaciones interrumpidas. - Perdida de caudal. - Conflictos de rutas. El protocolo el mas conocido para hacer eso es SNMP (Simple Network Management Protocol), y la plataforma la mas vendida es HP Openview.

42 Taller El protocolo SNMP

43 Seguridad de la redes WIFI (802.11x) Identificador de red. Para conectarse, un equipo debe conocer el nombre de la red : SSID (Service Set Identifier). Es posible de no enviar automáticamente este valor. Contraseña. Control sobre la dirección MAC. Emisor WIFI con funcionalidades de Firewall. Cifrado integrado en el emisor Wifi. Tecnología WEP (Wired Equivalent Privacy) y WAP (Wifi Protected Access).

44 Ejemplo de utilización en empresa : acceso Internet en las salas de reuniones.

45 Ejemplo de utilización en empresa : movilidad profesional Servidores privados de la empresa Servidores públicos de la empresa VPN Acceso clásico VPN Red privada del aeropuerto

46 Utilización asegurada de las redes telefónicas para movilidad profesional Computadores con tarjeta de red telefónica Servidores privados de la empresa Servidores públicos de la empresa GSM GPRS UMTS VPN Acceso clásico VPN Red privada del proveedor de servicios telefónicos

47 Taller Demostración de la configuración de una red inalámbrica a la casa Demostración de movilidad profesional con un celular