Curso de Seguridad Infórmatica

Transcripción

1 Curso de Seguridad Infórmatica

2 Índice 3.1 Redes -Estructuras -Modelos de interconexión -Protocolos 3.2 Modelo Osi -Protocolo de Internet (IP) -ICMP -Ping -Puertos -Conexiones -ARP Seguridad a nivel de capas de red. Seguridad a nivel de servicios de red. 3.3 Políticas de seguridad 3.4 Parte práctica: -Uso básico de nessus -Wiresharck y escaneo de puertos Bibliografía *Nota de la autora de los 7 primeros temas curso: Escribir un curso de seguridad informática en una semana, es una tarea titánica casi imposible, aún así he decidido enfrentarme a ella para hacer posible este curso. Aunque me encantaría escribir todo con palabras propias, me resulta imposible debido a la falta de tiempo, por lo que copiaré varios textos de los cuales dejaré las referencias para la hacer posible la explicación de todo el contenido que el curso comprende.

3 3.1 Redes Para poder entender los factores de riesgo dentro de una red primero debemos de conocer qué son y como funcionan las redes, en la primera parte de este tema nos vamos a centrar en describirlas y comprenderlas, más adelante entraremos en conceptos de seguridad en redes para lo cual me apoyaré en diferentes texto de los cuales copiaré sus contenidos y referenciaré sus autores al final del documento. Objetivos de las redes: Las redes en general, consisten en compartir recursos. Los objetivos a la hora del diseño de una nueva red son: 1. Disponibilidad: hacer que todos los programas, datos y equipos estén disponibles para cualquier usuario de la red que así lo solicite, sin importar la localización física del recurso y del usuario. 2.Alta Fiabilidad: Contar con fuentes alternativas de suministro, si existen múltiples CPUs y una deja de funcionar, las otras pueden hacer su trabajo. 3.Ahorro económico: Se debe tener en cuenta la relación costo/rendimiento, a la hora de comprar equipamiento intentando adecuarse lo máximo posible a las necesidades de la empresa. Estructuras Definir el concepto de redes implica diferenciar entre el concepto de redes físicas y redes de comunicación Una Red la constituyen dos o más computadoras que comparten determinados recursos. Podemos decir que existe una red cuando están involucrados un componente humano que comunica, un componente tecnológico (computadoras, telecomunicaciones) y un componente administrativo (institución que mantiene los servicios). Así, a una Red más que varias computadoras conectadas, la forman personas que solicitan, proporcionan e intercambian experiencias e informaciones a través de sistemas de comunicación. Modelos de interconexión La forma de acceder a los datos nos permite diferenciar dos modos claros de conexión: 1. Redes Point To Point(Punto a punto) donde un host se conecta directamente a otro. 2. Modelo cliente/servidor donde el cliente (un usuario de PC) solicita un servicio (por ejemplo imprimir) que un Servidor (un procesador conectado a la LAN) le proporciona. Protocolo Un protocolo es un acuerdo de reglas semánticas y sintácticas, (lenguaje de reglas y símbolos),que rigen la comunicación entre dos equipos o dos servicios. Esto quiere decir que se ponen de acuerdo para hablar de una forma determinada, si lo trasladamos a la vida diaria, nosotros no hablamos igual, no utilizamos el mismo lenguaje, con nuestra suegra que con nuestra pareja, ni con nuestra pareja que con nuestros compañeros de trabajo, ya que con todos ellos utilizamos protocolos distintos de comunicación. En el nivel físico, esto se realiza a través de tarjetas de red, y una conexión entre las mismas. Lógicamente se debe establecer una comunicación del mismo lenguaje entre distintos sistemas operativos y tarjetas de red independientemente del fabricante de las mismas. A este lenguaje se le llama protocolo. 3.2 Modelo Osi A principios de los 80 los fabricantes informáticos más importantes se reunieron para unificar diferencias y

4 permitir así la comunicación y compatibilidad entre sus distintos dispositivos, ya que en aquel entonces no eran compatibles. De esta reunión nació el modelo OSI (Modelo abierto de internetwork), de Iso (International Organization for Standardization, organización internacional de estandarización), creando el siguiente modelo basado en 7 capas: Esto aportó una serie de beneficios que se mantienen hoy día: -Menos complejidad: Divide los conceptos en partes más pequeñas lo que permite la especialización. -Interfaces Estándares: Las definiciones de interfaz estándar entre cada capa permiten la competencia abierta entre los fabricantes lo cual favorece el producto final. -Mejora del aprendizaje: Al hacer menos abstractos los términos de la comunicación es más facil poder explicarlos. -Mejor desarrollo: Los profesionales pueden dedicarse a desarrollar de forma especializada para cada una de las capas sin tener que prestar atención o tener conocimientos sobre el resto. -Interoperatibilidad multifabricante: Ordenadores de distintos fabricantes y dispositivos de red de diversos fabricantes pueden coexistir en la misma red funcionando perfectamente. -Ingeniería modular: Un fabricante puede escribir software que funcione en las primeras capas y otro que funcione en las siguientes.

5 Cada una de las capas tiene un propósito en la trasmisión de los datos. Vamos a verlas detenidamente: Capa de aplicación: -Es la capa final más cercana al usuario y la única que no proporciona servicios a ninguna otra capa. -Ofrece a las aplicaciones (de usuario o no), la posibilidad de acceder a las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos. -Proporciona la interfaz entre las aplicaciones que usamos para comunicarnos y la red subyacente en la cual se trasmiten los mensajes -Los protocolos de la capa de aplicación se utilizan para intercambiar datos entre los programas que se ejecutan en el host de origen y de destino. En esta capa aparecen diferentes protocolos y servicios, más adelante hablaremos con más detalle de los protocolos y servicios en genereal: Protocolos de la capa de aplicación: FTP (File Transfer Protocol - Protocolo de transferencia de archivos) para transferencia de archivos. DNS (Domain Name Service - Servicio de nombres de dominio). DHCP (Dynamic Host Configuration Protocol - Protocolo de configuración dinámica de anfitrión). HTTP (HyperText Transfer Protocol) para acceso a páginas web. POP (Post Office Protocol) para correo electrónico. SMTP (Simple Mail Transport Protocol). SSH (Secure SHell) TELNET para acceder a equipos remotos. TFTP (Trival File Transfer Protocol). LDAP (Lightweight Directory Access Protocol). Servicios de la capa de aplicación: Aplicaciones de Red www (World Wide Web). Enlace a capas inferiores Esta capa contiene las aplicaciones visibles para el usuario. Algunas consideraciones son: seguridad y cifrado, DNS (Domain Name Service) Una de las aplicaciones mas usadas hoy en dia en Internet es el WWW (World Wide Web). Capa de presentación: Se encarga de la representación de la información, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo Motorola), sonido o imágenes, los datos lleguen de manera reconocible. Esta capa es la primera en trabajar más el contenido de la comunicación que cómo se establece la misma. En ella se tratan aspectos tales como la semántica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas. La Capa 6, o capa de presentación, cumple tres funciones principales. Estas funciones son las siguientes:

6 Formato de datos Ej: Ascii, Unicode, EBCDIC Cifrado de datos Ej: clave de cifrado el lugar origen y de descifrado en lugar de destino Compresión de datos Ej: Gif, MPG, JPG, MP3... Capa de sesión: Define como iniciar, controlar y terminar las conversaciones(sesiones) entre las aplicaciones Capa de trasporte: Es la encargada de la comunicación confiable entre el host, control de flujo y de la corrección de errores. Los datos son divididos en segmentos, identificados con un encabezado y con un número de puerto que identifica la aplicación de origen. Sus principales funciones son: -Seguimiento de la comunicación individual entre las aplicaciones de host de origen y destino -Segmentación de los datos y gestión de cada porción - Re-ensamblaje de los segmentos en flujos de aplicación. -Identificación de los segmentos Protocolos: -Tcp Trasfer Control Protocol o protocolo de control de trasferencia. Es un protocolo orientado a la conexión de entrega confiable y control de flujo. Tiene 20bytes de carga en el encabezado que engloban: Puerto de origen y destino Secuenciamiento para la entrega en el mismo orden. Reconocimiento de segmentos recibidos Control del flujo y administración de la saturación. -UDP User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas. Es un protocolo sin conexion con datagramas de 8bytes de máximo esfuerzo Capa de Red La capa de red provee servicios para intercambiar secciones de datos individuales a través de la red entre dispositivos finales identificados Tiene tres características principales: -Direccionamiento lógico: define como cada dispositivo puede tener una dirección que el proceso de enrutamiento puede usar. -Enrutamiento(envío) Definen cómo los dispositivos, normalmente routers, envían los paquetes a su destino final. -Determinación de la ruta. Se refiere al trabajo realizado por los protocolos de enrutamiento, según el cual se aprenden todas las rutas pero sólo se elige la mejor para su uso. Sus protocolos son: -Protocolo de internet IPv4 -Protocolo de internet IPv6 -IPX Intercambio novell de paquetes de internetwork -Apple talk

7 -CLNS/Decnet Servicio de red sin conexión Capa de enlace de datos Permite a las capas superiores acceder a los medios usando técnicas como tramas. Controla cómo se ubican los datos en los medios y cómo se reciben usando técnicas de control de acceso a los medios y de detección de errores. Los protocolos de la capa de enlace de datos regulan como se da formato a una trama para utilizarla en diferentes medios. Tiene dos subcapas: LLC Control de enlace lógico: Entrama el paquete de la capa de red e identifica el protocolo de la capa de red. MAC Control de acceso al medio: Direcciona la trama y marca su comienzo y su fin. Sus protocolos son: Ethernet, 802.2,802.3,HDLC, Frame-Relay...etc Capa física Se encarga de los medios, conectores, especificaciones eléctricas, lumínicas y de la codificación. Los bits son trasformados en pulsos eléctricos, en luz o en radio frecuencia para ser enviados según sea el medio en que se propaguen.

8 Un envío de datos típico bajo el modelo de referencia OSI comienza con una aplicación en un nodo cualquiera de la red. Esta Aplicación genera los datos que quiere enviar a su contraparte en otro nodo. 1. La Capa de Aplicación toma los datos y los encapsula añadiendo un encabezado que puede contener información de control o estar vacío.envía el paquete resultante a la Capa de Presentación. 2. La Capa de Presentación recibe el paquete y no intenta decodificarlo o separar sus componentes, sino que lo toma como datos y le añade un encabezado con información de control de esta capa. 3. Las Capa de Sesión y de Transporte reciben el paquete, que también son sólo datos para ellas y le añaden un encabezado de control. El resultado es enviado a la capa inferior. 4. La Capa de Red se encarga de enrutar el paquete a su destino. 5. Las Capas de Red, Enlace de datos y Física toman, respectivamente, el paquete que les envía la capa superior y añaden a éste un encabezado definido por el protocolo que corresponde a cada capa y pasan el resultado a la capa inferior. 6. La Capa Física, por último, traducirá el último paquete a las señales apropiadas para que viajen por el medio físico hasta el nodo destino. 7. En el nodo destino comienza el camino inverso; es decir que cada capa quita su encabezado de control y envía el paquete a la capa superior hasta llegar a la de Aplicación en el nodo destino.

9 Como puede apreciarse, todas las capas, excepto la de Aplicación, procesan los paquetes realizando operaciones que sirven para verificar que el paquete de datos real esté íntegro, o para que éste llegue a su destino sin que los datos sufran alguna alteración. Protocolo de Internet (IP) Para entender como atacan un sistema de cómputo a través de una red, necesitamos conocimientos del más popular de los protocolos, el TCP/IP ampliamente usado hoy en Internet. Este protocolo incluye varios componentes: El Protocolo de Control de Flujo (TCP), el Protocolo de Datagramas de Usuario (UDP), el Protocolo de Internet (IP) y Protocolo de Control de Mensajes de Internet (ICMP). La dirección IP es el identificador de cada host dentro de su red de redes. Cada host conectado a una red tiene una dirección IP asignada, la cual debe ser distinta a todas las demás direcciones que estén vigentes en ese momento en el conjunto de redes visibles por el host. En el caso de Internet, no puede haber dos computadores con 2 direcciones IP (públicas) iguales. Pero sí podríamos tener dos computadores con la misma dirección IP (privadas) siempre y cuando pertenezcan a redes independientes entre sí (sin ningún camino posible que las comunique). Las direcciones IP se clasifican en: -Direcciones IP públicas: Son visibles en todo Internet. Un computador con una IP pública es accesible (visible) desde cualquier otro computador conectado a Internet. Para conectarse a Internet es necesario tener una dirección IP pública. -Direcciones IP privadas (reservadas): Son visibles únicamente por otros hosts de su propia red o de otras redes privadas interconectadas por enrutadores (routers). Se utilizan en las empresas para los puestos de trabajo. Los computadores con direcciones IP privadas pueden salir a Internet por medio de un router (o proxy) que tenga una IP pública. Sin embargo, desde Internet no se puede acceder a computadores con direcciones IP privadas. A su vez, las direcciones IP pueden ser: -Direcciones IP estáticas (fijas): Un host que se conecte a la red con dirección IP estática siempre lo hará con una misma IP. Las direcciones IP públicas estáticas son las que utilizan los servidores de Internet con objeto de que estén siempre localizables por los usuarios de Internet. Estas direcciones hay que contratarlas a través de un proveedor de servicios (ISP) o registrándolas directamente a través de -Direcciones IP dinámicas: Un host que se conecte a la red mediante dirección IP dinámica, cada vez lo hará con una dirección IP distinta. Las direcciones IP públicas dinámicas son las que se utilizan en las conexiones a Internet mediante un Módem, Router Adsl, Router inalámbrico, Etc. Los proveedores de Internet utilizan direcciones IP dinámicas debido a que tienen más clientes que direcciones IP (es muy improbable que todos se conecten a la vez).

10 Difusión (broadcast) y multidifusión (multicast). El término difusión (broadcast) se refiere a todos los hosts de una red; multidifusión (multicast) se refiere a varios hosts (aquellos que se hayan suscrito dentro de un mismo grupo). Siguiendo esta misma terminología, en ocasiones se utiliza el término unidifusión (unicast) para referirse a un único host. Difusión o broadcasting es el envío de un mensaje a todos los computadores que se encuentran en una red. La dirección de loopback (normalmente ) se utiliza para comprobar que los protocolos TCP/IP están correctamente instalados en nuestro propio computador. Lo veremos más adelante, al estudiar el comando PING. Las direcciones de redes siguientes se encuentran reservadas para su uso en redes privadas (intranets). Una dirección IP que pertenezca a una de estas redes se dice que es una dirección IP privada. Clase Rango de direcciones reservadas de redes A B C Dentro de una intranet se pueden configurar todos los servicios típicos de Internet (web, correo, mensajería instantánea, etc.) mediante la instalación de los correspondientes servidores. La idea es que las intranets son como "internets" en miniatura o lo que es lo mismo, Internet es una intranet pública gigantesca. -Extranet. Unión de dos o más intranets. Esta unión puede realizarse mediante líneas dedicadas (RDSI, X.25, frame relay, ADSL,punto a punto, etc.) o a través de Internet. -Internet. Es la mayor red pública de redes TCP/IP. El datagrama IP es la unidad básica de transferencia de datos entre el origen y el destino. Viaja en el campo de datos de las tramas físicas (recuérdese la trama Ethernet) de las distintas redes que va atravesando. Cada vez que un datagrama tiene que atravesar un router, el datagrama saldrá de la trama física de la red que abandona y se acomodará en el campo de datos de una trama física de la siguiente red. Este mecanismo permite que un mismo datagrama IP pueda atravesar redes distintas: enlaces punto a punto, redes ADSL, redes Ethernet, redes Token Ring, etc. El propio datagrama IP tiene también un campo de datos: será aquí donde viajen los paquetes de las capas superiores. ICMP ICMP es un protocolo de Control (Internet Control Message Protocol), que sirve para avisar de los errores en el procesamiento de los datagramas, es decir, de los paquetes IP. Los paquetes ICMP no tienen puerto de origen ni de destino, en su lugar tienen un tipo y un "subtipo" o código. ICMP sospechosos/peligrosos

11 PING <- 8/Generalmente todo escaneo de tus puertos va precedido de una detección mediante un ping ICMP REDIRECT <- 5/Alguien intenta redirigir nuestro router, esto significa que alguien intenta un ataque "de hombre en medio" redirigiendo nuestro tráfico a través de su máquina SOURCE QUENCH <- 4/Puede ser un intento de ataque DoS, ya que estos paquetes ralentizan la comunicación, RFC1122 dice que un cortafuegos DEBE descartarlos PARAMETER PROBLEMS -> 12/Salidas de ICMP parameter-problem 12/- indican que se nos está aplicando alguna técnica de detección de sistema operativo (fingerprinting), o que están intentando algún tipo de hackeo PORT UNREACHABLE -> 3/3 Las salidas de port-unreachable 3/3 de nuestro sistema delatan que están escaneando nuestros puertos UDP Ping La orden PING envía mensajes de solicitud de eco a un host remoto e informa de las respuestas. Veamos su funcionamiento, en caso de no producirse incidencias en el camino. A envía un mensaje ICMP de tipo 8 (Echo) a B B recibe el mensaje y devuelve un mensaje ICMP de tipo 0 (Echo Reply) a A A recibe el mensaje ICMP de B y muestra el resultado en pantalla En la orden anterior hemos utilizado el parámetro "-n 1" para que el host A únicamente envíe 1 mensaje de solicitud de eco. Si no se especifica este parámetro se enviarían 4 mensajes (y se recibirían 4 respuestas). Si el host de destino no existiese o no estuviera correctamente configurado recibiríamos un mensaje ICMP de tipo 11 (Time Exceeded). Si tratamos de acceder a un host de una red distinta a la nuestra y no existe un camino para llegar hasta él, es decir, los enrutadores no están correctamente configurados o estamos intentando acceder a una red aislada o inexistente, recibiríamos un mensaje ICMP de tipo 3 (Destination Unreachable). Pero también puede suceder que el equipo al que se le está haciendo Ping tenga deshabilitado las respuestas eco por cuestiones de seguridad: En este ejemplo vemos como el DNS resuelve la IP sin problemas, pero el Ping no responde. Para estos casos hay que utilizar otros mecanismos como por ejemplo la apertura de conexión a un puerto. El comando Ping es ampliamente utilizado para diagnosticar errores en la red, que van a ir desde la interfaz local de red a condiciones de red o equipos de comunicación de datos. -Mensajes ICMP de tiempo excedido. Los datagramas IP tienen un campo TTL (tiempo de vida - TDV) que impide que un mensaje esté dando vueltas indefinidamente por la red de redes. El número contenido en este campo disminuye en una unidad cada vez que el datagrama atraviesa un router. Cuando el TTL de un datagrama llega a 0, éste se descarta y se envía un mensaje ICMP de tipo 11 (Time Exceeded) para informar al origen. Los mensajes ICMP de tipo 11 se pueden utilizar para hacer una traza del camino que siguen los datagramas hasta llegar a su destino. Cómo? Enviando una secuencia de datagramas con TTL=1, TTL=2, TTL=3, TTL=4, etc... hasta alcanzar el host

12 o superar el límite de saltos (30 si no se indica lo contrario). El primer datagrama caducará al atravesar el primer router y se devolverá un mensaje ICMP de tipo 11 informando al origen del router que descartó el datagrama. El segundo datagrama hará lo propio con el segundo router y así sucesivamente. Los mensajes ICMP recibidos permiten definir la traza. Puertos Los puertos son las puertas y ventanas de un sistema operativo. Hay miles de puertos que puedan estar abiertos en un sistema. Actualmente el rango de los puertos varía de 1 a para TCP y 1 a para los UDP, de los cuales los primeros 1024 son reservados para el sistema. Cuantos más puertos abiertos hay en una máquina más puntos de vulnerabilidad existen en el sistema. Para distinguir las distintas conexiones dentro de un mismo computador se utilizan los puertos. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes. Algunos de los puertos más comunes son: Técnicamente los puertos de entrada / salida en un computador son los canales por los que son trasferidos los datos entre un dispositivo y el procesador. A continuación se enumeran los puertos bien conocidos más usuales: Puerto TCP o UDP 20 TCP 21 TCP 22 TCP 23 TCP 25 TCP 53 TCP/UDP 69 UDP 79 TCP 80 TCP 88 TCP 106 TCP 110 TCP 111 TCP/UDP 115 TCP 119 TCP 123 TCP/UDP 137 UDP 139 TCP 143 TCP 161 UDP 311 TCP 389 TCP 427 TCP/UDP 443 TCP 445 TCP Nombre de protocolo o servicio RFC Protocolo de transferencia de archivos (FTP) 959 Control de FTP 959 Shell segura (SSH) Telnet Protocolo simple de transferencia de correo (SMTP) 5321 Sistema de nombres de dominio (DNS) 1034 Protocolo trivial de transferencia de archivos (TFTP) 1350 Finger 1288 Protocolo de transferencia de hipertexto (HTTP) 2616 Kerberos 4120 Servidor de contraseñas Protocolo de oficina de correos (POP3) 1939 Llamada a procedimiento remoto (RPC) 1057, 1831,1413 Programa seguro de transferencia de archivos (SFTP) 913 Protocolo de transferencia de noticias de red (NNTP) 3977 Network Time Protocol (NTP) 1305 Windows Internet Naming Service (WINS) Bloque de mensaje de servidor (SMB) Protocolo de acceso a mensajes de Internet (IMAP) 3501 Protocolo simple de administración de red (SNMP) 1157 Server Admin, Workgroup Manager, Server Monitor, Xsan Admin Protocolo ligero de acceso a directorios (LDAP) 4511 Protocolo de ubicación de servicios (SLP) 2608 Capa de sockets seguros (SSL o "HTTPS") Servidor de dominio SMB de Microsoft -

13 Para conocer los puertos que puede utilizar su equipo puedes editar los archivos services, estos se encuentra en el caso de Linux en el directorio /etc, para el caso de Windows los encuentra en el directorio c:\windows\system32\drivers. Conexiones Una conexión son dos pares dirección IP y Puerto. No puede haber dos conexiones iguales en un mismo instante en toda la Red. Aunque bien es posible que un mismo computador tenga dos conexiones distintas y simultáneas utilizando un mismo puerto. El protocolo TCP utiliza el concepto de conexión para identificar las transmisiones. Ya hemos comentado que el flujo de bytes que produce una determinada aplicación se divide en uno o más segmentos TCP para su transmisión. Cada uno de estos segmentos viaja en el campo de datos de un datagrama IP. Para facilitar el control de flujo de la información los bytes de la aplicación se numeran. De esta manera, cada segmento indica en su cabecera el primer byte que transporta. Las confirmaciones o acuses de recibo (ACK) representan el siguiente byte que se espera recibir (y no el número de segmento recibido, ya que éste no existe). Bien veamos cuales son los estados en la comunicación con TCP: Estos son los mensajes que se intercambian entre cliente y servidor a la hora de intentar establecer una comunicación o durante ella, nos será muy útil conocerlos a la hora de hacer diagnostico de redes o entender que esta pasando cuando esnifemos el tráfico de red: URG. El campo Puntero de urgencia contiene información válida. ACK. El campo Número de acuse de recibo contiene información válida, es decir, el segmento actual lleva un ACK. Observemos que un mismo segmento puede transportar los datos de un sentido y las confirmaciones del otro sentido de la comunicación. PSH. La aplicación ha solicitado una operación push (enviar los datos existentes en la memoria temporal sin

14 esperar a completar el segmento). RST. Interrupción de la conexión actual. SYN. Sincronización de los números de secuencia. Se utiliza al crear una conexión para indicar al otro extremo cual va a ser el primer número de secuencia con el que va a comenzar a transmitir (veremos que no tiene porqué ser el cero). FIN. Indica al otro extremo que la aplicación ya no tiene más datos para enviar. Se utiliza para solicitar el cierre de la conexión actual. Ventana (16 bits). Número de bytes que el emisor del segmento está dispuesto a aceptar por parte del destino. Suma de verificación (24 bits). Suma de comprobación de errores del segmento actual. Para su cálculo se utiliza una pseudo-cabecera que también incluye las direcciones IP origen y destino. Hay más campos que no serán tratados en este curso. Antes de transmitir cualquier información utilizando el protocolo TCP es necesario abrir una conexión. Un extremo hace una apertura pasiva y el otro, una apertura activa. El mecanismo utilizado para establecer una conexión consta de tres vías. - La máquina que quiere iniciar la conexión hace una apertura activa enviando al otro extremo un mensaje que tenga el bit SYN activado. Le informa además del primer número de secuencia que utilizará para enviar sus mensajes. -La máquina receptora (un servidor generalmente) recibe el segmento con el bit SYN activado y devuelve la correspondiente confirmación. Si desea abrir la conexión, activa el bit SYN del segmento e informa de su primer número de secuencia. Deja abierta la conexión por su extremo. La primera máquina recibe el segmento y envía su confirmación. A partir de este momento puede enviar datos al otro extremo. Abre la conexión por su extremo. La máquina receptora recibe la confirmación y entiende que el otro extremo ha abierto ya su conexión. A partir de este momento puede enviar ella también datos. La conexión ha quedado abierta en los dos sentidos. Observamos que son necesarios 3 segmentos para que ambas máquinas abran sus conexiones y sepan que la otra también está preparada. Cierre de una conexión Cuando una aplicación ya no tiene más datos que transferir, el procedimiento normal es cerrar la conexión utilizando una variación del mecanismo de 3 vías explicado anteriormente: La máquina que ya no tiene más datos que transferir, envía un segmento con el bit FIN activado y cierra el sentido de

15 envío. Sin embargo, el sentido de recepción de la conexión sigue todavía abierto. La máquina receptora recibe el segmento con el bit FIN activado y devuelve la correspondiente confirmación. Pero no cierra inmediatamente el otro sentido de la conexión sino que informa a la aplicación de la petición de cierre. Aquí se produce un lapso de tiempo hasta que la aplicación decide cerrar el otro sentido de la conexión. La primera máquina recibe el segmento ACK. Cuando la máquina receptora toma la decisión de cerrar el otro sentido de la comunicación, envía un segmento con el bit FIN activado y cierra la conexión. La primera máquina recibe el segmento FIN y envía el correspondiente ACK. Observemos que aunque haya cerrado su sentido de la conexión sigue devolviendo las confirmaciones. La máquina receptora recibe el segmento ACK. ARP El protocolo ARP es un protocolo estándar específico de las redes. Su status es electivo. El protocolo de resolución de direcciones es responsable de convertir las direcciones de protocolo de alto nivel(direcciones IP) a direcciones de red físicas. ARP se emplea en redes IEEE 802 además de en las viejas redes DIX Ethernet para mapear direcciones IP a dirección hardware. Para hacer esto, ha de estar estrechamente relacionado con el controlador de dispositivo de red. Si una aplicación desea enviar datos a una determinada dirección IP de destino, determina primero la dirección IP del siguiente salto del paquete (que puede ser el propio host de destino o un "router") y el dispositivo hardware al que se debería enviar. Si se trata de una red 802.3/4/5, deberá consultarse el módulo ARP para mapear el par <tipo de protocolo, dirección de destino> a una dirección física. El módulo ARP intenta hallar la dirección en su caché. Si encuentra el par buscado, devuelve la correspondiente dirección física de 48 bits al controlador. Si no lo encuentra, descarta el paquete (se asume que al ser un protocolo de alto nivel volverá a transmitirlo) y genera un broadcast de red para una solicitud ARP. Tablas ARP La filosofía es la misma que tendríamos para localizar al señor X entre 150 personas: preguntar por su nombre a todo el mundo, y el señor X nos responderá. Así, cuando a A le llegue un mensaje con dirección origen IP y no tenga esa dirección en su tabla ARP, enviará su paquete ARP a la dirección broadcast (física), con la IP de la que quiere conocer su dirección física. Entonces, el equipo cuya dirección IP coincida con la preguntada, responderá a A enviándole su dirección física. En este momento A ya puede agregar la entrada de esa IP a su tabla ARP. Las entradas de la tabla se borran cada cierto tiempo, ya que las direcciones físicas de la red pueden cambiar (Ej: si se estropea una tarjeta de red y hay que sustituirla) Funcionamiento I Si A quiere enviar un paquete a la dirección IP de B (misma red), mirará su tabla ARP para poner en la frame la dirección destino física correspondiente a la IP de B. De esta forma, cuando les llegue a todos el frame, no tendrán que deshacer el frame para comprobar si el mensaje es para ellos, sino que se hace con la dirección física.

16 Funcionamiento II Si A quiere enviar un mensaje a C (un nodo que no este en la misma red), el mensaje deberá salir de la red. Así, A envía el frame a la dirección física del router de salida. Esta dirección física la obtendrá a partir de la IP del router, utilizando la tabla ARP. Si esta entrada no esta en la tabla, mandará un mensaje ARP a esa IP (llegará a todos), para que le conteste indicándole su dirección física. Una vez en el router, éste consultará su tabla de enrutamiento, obteniendo el próximo nodo (salto) para llegar al destino, y saca el mensaje por el interfaz correspondiente. Esto se repite por todos los nodos, hasta llegar al último router, que es el que comparte el medio con el host destino. Aquí el proceso cambia: el interfaz del router tendrá que averiguar la dirección física de la IP destino que le ha llegado. Lo hace mirando su tabla ARP o preguntando a todos. Seguridad a nivel de capas de red: Capa 2 A nivel de enlace: La importancia de este nivel, es que es el último que encapsula todos los anteriores, por lo tanto si se escucha y se sabe desencapsular se tiene acceso a absolutamente toda la información que circula en una red. Hay herramientas que operan a este nivel y se llaman analizadores de protocolos. Pueden ser: De hardware: Son Hardware diseñado específicamente para esta actividad como el Internet Advisor de Hewlett Packard o el Dominó de Vandell & Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo. De software: La diferencia es que aunque pueden ser instalados en cualquier máquina o equipo estos sólo tendrán acceso a la misma parte de la red que la máquina o equipo donde estén instalados, algunos de ellos son Wiresark o netmap de los que ya hemos hablado y veremos en la parte práctica con más detalle. qué auditamos a nivel de capa de enlace o donde ponemos nuestra atención? 1 Filtrado de mac controlando así las direcciones del hardware de nuestra red; Debemos saber cuales son las mac's que corresponden a nuestra red, tenerlas mapeadas y filtrar las mac's ajenas. Esta va a ser una buena forma de confirmar si ha habido una conexión desde un equipo ajeno a nuestra red lo cual puede ser una intrusión. Esto medida no se suele tomar muy habitualmente por resultar tediosa a la hora de gestionar invitados, pero recordad que siempre podemos crear un red externa para nuestros invitados y mantener este nivel de seguridad activo. 2.Segmentar dominios de colisiones: Los switch o bridge operan a nivel de capa 2, su trabajo consiste en saber por a que puerto físico corresponde cada una de las macs y conmuta el tráfico en base a esto, lo cual crea dominios de colisión que segmentan la red. 3. Analizar el tráfico: -Broadcast (comunicación de un host a todos): para mejorar el funcionamientode la red se debe de limitar los broadcast que pueden trasmitirse por la red, de este modo también evitamos un conocido ataque a la disponibilidad llamado "Bombardeo de Broadcast". -Análisis de los multicast, pues son estos los mensajes que intercambian los Router, y es de sumo provecho para un interesado en una red ajena ser partícipe de estos grupos, pues en ellos encontrará servida

17 toda la información de enrutamiento de la red. - Análisis de colisiones: Una colisión se produce cuando dos host trasmiten simultanemeante en un intervalo de tiempo menor a 512 microsegundos (que es el tamaño mínimo de una trama Ethernet) Ante este hecho, los dos host hacen silencio y esperan una cantidad aleatoria de "tiempos de ranura" (512 microsegundos), e intentan transmitir nuevamente. Si se tiene acceso físico a la red, un ataque de negación de servicio, es justamente generar colisiones, pues obliga a hacer silencio a todos los Host de ese segmento. 3. Capa de red: La capa de red como ya hemos visto anteriormente es la responsable del enrutamiento. Debemos de tener en cuenta los siguientes puntos: - Auditorías en Router: (Este es el dispositivo por excelencia en este nivel). 1) Control de contraseñas: Los router permiten la configuración de distintos tipos de contraseñas, para acceder al modo usuario es la primera que solicita si se accede vía Telnet, luego también para el ingreso a modo privilegiado, también se permite el acceso a una contraseña encriptada, y por último la de acceso vía consola. 2) Configuración del router: Dentro de este aspecto se contemplan los detalles de configuración que muchas veces en forma innecesaria quedan habilitados y no se emplean (Broadcast Subnetting, local loop, puertos, rutas, etc) 3) Resguardo de las configuraciones: Un detalle de suma importancia es guardar la startup- config en forma consistente con la running-config, y esta a su vez en un servidor t_ftp, como así también en forma impresa. 4) Protocolos de enrutamiento: El empleo de los protocolos de ruteo es crítico pues la mayor flexibilidad está dada por el uso de los dinámicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita información para ser aprovechada por intrusos, los cuales a su vez pueden emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es más fácil pues se envía una tabla completa que pertenece a un router específico y a su vez a este se lo puede verificar con dos niveles de contraseña: normal y Message Digest). Las tablas de enrutamiento estáticas, por el contrario, incrementan sensiblemente las medidas de seguridad, pues toda ruta que no esté contemplada, no podrá ser alcanzada. 5) Listas de acceso: Son la medida primaria de acceso a una red (Se tratarán en detalle en cuando hablemos de firewalls). 6) Listas de acceso extendidas: Amplían las funciones de las anteriores, generalmente con parámetros de nivel de transporte ((Se tratarán en detalle en cuando hablemos de firewalls)). 7) Archivos.Log: Permiten generar las alarmas necesarias. 8) Seguridad en el acceso por consola: Se debe prestar especial atención pues por defecto viene habilitada, sin restricciones, y si se tiene acceso físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router con una contraseña nueva. - Auditorías de tráfico ICMP:

18 1) Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la información deseada. 2) Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe como tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten. También se puede negar el servicio, por medio de una inundación de estos. 3) Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los códigos en que se subdivide, pues por medio de estos, se obtiene información que es de sumo interés. Al recibir respuestas de destino no alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición de acceso, de puertos negados, de Servidores que administrativamente niegan acceso a sus aplicaciones, etc. Lo importante de esta auditoría es que es muy claro lo que se debe observar y cualquier anomalía es bastante clara para detectar. Se debe analizar que tipo de mensajes se deben permitir y cuales no. - Auditoría ARP: El ataque ARP es uno de los más difíciles de detectar pues se refiere a una asociación incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y comparar permanentemente las mismas con un patrón de referencia válido. Existen programas que realizan esta tarea, el ARPWATCH es uno de los más conocidos - Auditoría de direccionamiento IP: Como se mencionó con anterioridad, existen dos formas de asignación de direcciones IP (antiguamente existía también una asignación automática que hoy prácticamente no se emplea más): 1) Estático: Se implementa en cada host manualmente, y se hace presente en la red siempre con la misma dirección IP. 2) Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del rango que se desee. Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios parámetros, uno de ellos también es la máscara de subred. El direccionamiento estático requiere mayor administración pero resulta la forma más segura y permite identificar las distribuciones lógicas, planta, departamento...etc Si se lleva un control adecuado, ningún usuario que no posea una dirección válida verá esta red. Si se roba alguna dirección, es muy probable que el conflicto con la ya existente sea detectado. El enrutamiento dinámico no requiere grandes esfuerzos por parte del administrador y es mucho más secillo de administrar pero nos priva del control exhaustivo sobre nuestra red. Una buena distribución de subredes y rutas para alcanzar a estas es la mejor estrategia para limitar el alcance de una intrusión. - Detección de ataques "Tear Drop": Este ataque se lleva a cabo por medio del uso de la fragmentación y reensamble. Se envían series de paquetes que al intentar ser reensamblados, sus identificadores no coinciden con lo que los Header de TCP/IP creen que debería ser. Esto puede causar la caída del host atacado, o la rotura de sesiones anteriormente establecidas.

19 Capa de transporte: Permite los protocolos vistos anteriormente, Tcp y Udp En este nivel los dos elementos importantes a auditar son el establecimiento de sesiones y los puertos, los cuales se pueden determinar con las siguientes actividades: Auditorías de establecimientos y cierres de sesión: Ataques LAND. Inundación de SYN. Auditorías en UDP: Este protocolo por no ser orientado a la conexión, no implementa ninguno de los bit de TCP, por lo tanto, es sumamente difícil regular su ingreso o regreso seguro en una red. Mientras que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un FIREWALL es que el último puede Recordar las asociaciones entre los segmentos UDP y el datagrama correspondiente, de manera tal de poder filtrar toda asociación inconsistente. Este tipo de Firewall son los que permiten la filtrado dinámico de paquetes. Como medida precautoria CIERRE TODOS LOS PUERTOS UDP QUE NO EMPLEE. Auditoría en Puertos UDP y TCP: Dentro del Header de TCP o UDP se encuentran los campos Puerto Origen y Puerto Destino, los cuales son uno de los detalles más importantes a auditar dentro de una red pues a través de ellos, se puede ingresar a un Host, y operar dentro de este. Nivel de Aplicación: - Auditoría de servidores de correo, Web, ftp y tftp, Proxy: Limitar el acceso a áreas específicas del Servidor. Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar especial atención a la cuenta Anonymous. Requiera contraseñas. Siempre controle los archivos. Log.!!!!! Deshabilite índices de directorios. Deshabilite todos los servicios de red que no sean empleados por el servidor Auditorías de accesos remotos: En la actualidad es común el trabajo fuera de la Empresa, para lo cual es una buena medida permitir el acceso por medio de líneas telefónicas (dial-up). Al implementar esta medida, el primer concepto a tener en cuenta es CENTRALIZARLA, es decir implementar un pool de modem o un Access Server (Router con puertos asincrónicos) como única puerta de ingreso dialup. La segunda actividad es AUDITARLA PERMANENTEMENTE. Todo sistema que posibilite el ingreso telefónico, posee algún tipo de registros, estos deben ser implementados en forma detallada y su seguimiento es una de las actividades de mayor interés. Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo, enviándole una cantidad suficiente de mails. Se debe tener en cuenta que hasta que el usuario buscado no se conecte, los mensajes permanecerán en el servidor. Si esto se produce, no se poseerá capacidad de almacenamiento para ningún otro mensaje entrante, por lo tanto se inhibirá el servicio de correo electrónico.

20 Se puede también generar reportes si el tráfico de correo crece repentinamente. SOLUCION: Auditar espacio en disco rígido enviando las alarmas correspondientes una vez alcanzado el porcentaje establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y separar este área del resto del sistema. Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema de.log y de administración de red. Misma solución que el caso anterior. FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atención son los de Comando (21) y de datos (20) que están reservados para ftp. El acceso a una red a través de los mismos es bastante común. La principal ventaja que ofrecen es que se puede regular con bastante precisión su flujo de establecimiento de sesiones: Siempre es el cliente el que inicia el establecimiento de la sesión y en primer orden sobre el puerto 21 (comando), una vez establecido este triple Handshake, se inicia el establecimiento de sesión sobre el puerto 20 (datos). En este segundo proceso pueden existir dos posibilidades: la primera de ellas es conocida como activa y se trata de iniciar la sesión desde el servidor; el segundo caso se lo llama pasivo y es aquel en el cual a través de una solicitud del cliente por el puerto 21 (con la Instrucción PASV FTP) para iniciar una sesión pasiva, si el servidor soporta este proceder, lo autorizará, y será responsabilidad del cliente también el inicio de la sesión de datos (puerto 20). Este proceder es tratado en este párrafo pues en base a la ubicación en la que se coloque el servidor ftp, se pueden (o se deben) tomar las medidas de filtrado referidas al pasaje entrante o saliente de los bit SYN y ACK cuando se trate de los puertos mencionados. Seguridad a nivel de servicios de red. Los servicios son los programas que se están ejecutando en una máquina para realizar una función específica. Los servicios llegan a ser peligrosos cuando se están ejecutando como administrador o como root y recuerde que el root o administrador puede hacer cualquier cosa. Si un servicio se está ejecutando como root, cualquier comando que ejecute, se ejecutará como administrador. Esto quiere decir que si soy un usuario normal y deseo ejecutar un proceso como root, debo atacar un servicio que se esté ejecutando como root para luego tomar el control. Así como los puertos, cuantos más servicios estén ejecutando, más son los puntos de vulnerabilidad que tiene un sistema. Sin embargo, cada administrador puede limitar el número de servicios, solo se debe dejar aquellos que son prioritarios en un sistema. La manera de observar los servicios que se están ejecutando en un sistema es fácil, por ejemplo en Windows 200x server, la opción servicios me muestra los servicios habilitados y deshabilitados. En Unix/Linux lo hace el comando ps fea, sin embargo, puede también editar los archivos services que se encuentran en los directorios de configuración de cualquier sistema operativo. Se ha visto en partes anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preveerse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más comunes y sus formas de prevención. Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecerán las