CONTENIDO CONTENIDO... 2 INTRODUCCIÓN SEGURIDAD INFORMATICA...7

Transcripción

1 1

2 CONTENIDO CONTENIDO... 2 INTRODUCCIÓN SEGURIDAD INFORMATICA Concepto Elementos a proteger Ataques más comunes en las redes Elementos Atacantes Técnicas de protección Pilares de la Seguridad Seguridad Confidencialidad Integridad Disponibilidad Autenticidad Amenazas a los Elementos que se Protegen Protocolos de Seguridad Seguridad IP (IPSec) Asociaciones de Seguridad (SAs) Encabezado de Autenticación (AH) Carga útil de encapsulado de Seguridad (ESP) Gestión de Claves Intercambio de Claves Seguridad Modo Túnel y Seguridad Modo Transporte SSL (Security Socket Layer) El Protocolos SSL Funcionamiento de SSL Protocolo de Transferencia de Hipertexto Seguro Calcular los Niveles de Riesgo de los Recursos Involucrados Sobre los Procedimientos de Seguridad Solicitar una cuenta de usuario Retiro de una Cuenta Procedimiento para Definir un Password Verificación de Accesos al Sistema Chequeo del Trafico de la Red Monitoreo de Volúmenes del Correo Monitoreo de Conexiones Activas Modificación de archivos Backups de Archivos Verificación de las Máquinas de los Usuarios Dar a Conocer las Normas de Seguridad Establecer los Usuarios y grupos por Defecto Recuperar Información Lista de Chequeo

3 1.11. Tipos de Ataques y Vulnerabilidad Negación del Servicio Consumo de Recurso Escaso, no Renovable y/o Limitado Destrucción y/o Modificación de Archivos de Configuración Destrucción y/o Alteración física de Componentes de Red Cracking de Passwords Spam y Bombardeo Control de Spam y Bombing Seguridad en el Puerto FTP Ataques al Puerto FTP Protección al Puerto FTP Servicio Servicio TFTP Servicio TELNET Comandos Remotos Herramientas para Controlar La Seguridad del Sistema ESTANDARES DE SEGURIDAD TOPICOS ADICIONALES DE SEGURIDAD BIBLIOGRAFIA...59 REFERENCIAS BIBLIOGRAFICAS...60 ANEXO A: IPSec ANEXO B: Protocolos de Seguridad:...66 ANEXO C: Pruebas de Seguridad en Correo Electrónico...67 ANEXO D: Tipos de mensajes del protocolo Alert...68 ANEXO E: Mensajes definidos para el protocolo Handshake de SSL...69 ANEXO F: Ejemplos de Recursos Afectados en un Sistema...71 ANEXO G: Tabla Como Ayuda Para Calcular El Riesgo...73 ANEXO H: Intrusos del sistema ponen en riesgo la seguridad...74 ANEXO I: Formulario solicitud cuenta del sistema...75 ANEXO J: Formulario para dar de baja una cuenta del sistema...76 ANEXO K: Análisis del comportamiento de la red...77 ANEXO L: Lista Ejemplo de Chequeo ANEXO M: Certificado Habituales de los Navegadores...80 LISTA DE FIGURAS Figura 1. Posible Flujo de la información Figura 2. Encabezado de autenticación en un paquete [12]...18 Figura 3. Procedimiento de autenticación AH [18]...18 Figura 4. Procedimiento de encriptado de la carga útil [18]

4 Figura 5. Procedimiento del protocolo IKE [18]...22 Figura 6. AH y ESP en modo Túnel y en modo transporte [19]...23 Figura 7. SSL en TCP/IP Figura 8. Procedimiento del Protocolo de Registro SSL[26]...26 Figura 9. Funcionamiento SSL con autenticación del Servidor [23]...28 Figura 10. Ejemplo para cuantificar el Riesgo en una Red [29]...30 Figura 11. Uso de Recursos Por Usuario [29]...31 Figura 12.Evolución de las Normas de seguridad de tecnologias[4]...47 Figura 13. Mapa de Normas Relativas a Sistema de Gestión de la Información [4] Figura 14. Técnicas utilizadas en IPSec [7] LISTA DE TABLAS Tabla 1. Diferencia entre AH y ESP [18]...24 Tabla 2. Protocolos Seguros con SSL en TCP[27]...25 Tabla 3. Mensajes del Protocolo Alert de SSL Tabla 4. Mensajes del Protocolo Handshake...70 Tabla 5. Interrupción que afecta la disponibilidad del recurso...71 Tabla 6. Interceptación pone en riesgo la privacidad de los datos...71 Tabla 7. Modificación afecta la integridad de los datos...72 Tabla 8. Producción ajena de información...72 Tabla 9. Tabla para Calcular el Riesgo...73 Tabla 10. Formulario Solicitud Cuenta del Sistema...75 Tabla 11. Formulario para dar de baja una cuenta del sistema...76 Tabla 12. Análisis del Comportamiento de la Red...77 INTRODUCCIÓN 4

5 Temas como la seguridad en los sistemas físicos y lógicos que involucran la transferencia de datos e información son de suma importancia, más aún cuando en el planeta se esta incrementando el uso de las herramientas computarizadas y de las redes. Estos métodos hacen que todas las transacciones electrónicas tengan un valor incalculable y que sean de carácter privado. Desde el punto de vista de las compañías que no han actualizado, ó tienen problemas con las políticas de seguridad, requieren de estrategias que involucren los siguientes aspectos: - Entender que la seguridad es una característica esencial de cualquier sistema informático. - Analizar, describir, entender y proteger los recursos del hardware y del software de una compañía. - Analizar, diseñar e implantar metodologías, métodos, documentos, programas y dispositivos físicos para garantizar la seguridad en sistemas tecnológicos de tal forma que puedan ser accedidos única y exclusivamente por quienes tienen la autorización para hacerlo. - Identificar los recursos a proteger como hardware, software y los elementos fungibles así como identificar la vulnerabilidad en los sistemas, las aplicaciones, la infraestructura y otros productos. - Implantar diferentes políticas de seguridad contra el rastreo, la modificación, suplantación, denegación de servicios entre muchos otros, los cuales son originados por personas y programas tanto internos como externos a la compañía. - Identificar los elementos atacantes y atacados de un sistema para aplicar las técnicas de protección contra las diferentes amenazas que se puedan presentar. - Conocer, manipular e implantar técnicamente políticas de seguridad acordes con las necesidades de los sistemas y de la compañía. - Asesorar, recomendar e implantar técnicas de seguridad. Estos y otros aspectos sobre la seguridad se enuncian en este documento junto con los estándares y las normas nacionales e internacionales al respecto. Por otro lado, el documento [29] ha sido de gran ayuda para mencionar aquí los aspectos de la vulnerabilidad y las técnicas de protección para las redes de 5

6 telecomunicaciones soportadas en su gran mayoría en sistemas tipo UNIX, desde como calcular los niveles de riesgo para una compañía, hasta que herramientas son usadas para el control y acceso de los sistemas. Sin embargo, se anuncia un capitulo que hace entrever que el tema de seguridad es muy extenso y que el lector puede profundizar con la bibliografía aquí incluida, junto con las normas de las instituciones de estandarización de estos temas. Finalmente, el documento presenta una visión integrada de toda la problemática de seguridad que afecta los sistemas informáticos y de telecomunicaciones e implica las alternativas de solución para garantizar y resguardar la confidencialidad y la integridad de la información, así como garantizar la autenticidad de los datos y de los mensajes para protegerlos de otros sistemas. 6

7 1. SEGURIDAD INFORMATICA 1.1. Concepto Según [1]: la Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema esta libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta característica, particularizando para el caso de sistemas operativos o redes de computadores, es muy difícil de conseguir (según la mayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de habilidad (probabilidad de que un sistema se comporte tal y como se espera de él) más que de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros De acuerdo a [2]: Concluye que seguridad informática es Un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Concienciar las personas de su importancia (la seguridad) en el proceso será algo crítico Por otro lado [4] escribe sobre seguridad informática En realidad es un concepto cuya definición exacta es difícil de proporcionar, debido a la gran cantidad de factores que intervienen. Sin embargo es posible enunciar que Seguridad es el conjunto de recursos (metodologías, documentos, programas y dispositivos físicos) encaminados a lograr que los recursos de cómputo disponibles en un ambiente dado, sean accedidos única y exclusivamente por quienes tienen la autorización para hacerlo. En conclusión, la seguridad Informática corresponde a un conjunto de características que pueden ser incorporada a cualquier sistema para protegerlo de: elementos, procesos, personas o sistemas no deseados dentro del entorno del sistema. La seguridad puede ser implementada con un conjunto de métodos, herramientas, personas, documentos, programas y/o dispositivos físicos. 7

8 1.2. Elementos a proteger Los elementos que se pueden proteger cuando se utilizan técnicas de seguridad corresponden a: - El Hardware: Elementos físicos electrónicos - El Software: Elementos lógicos. - Los Datos: Conjunto lógico que se encarga de integrar el hardware y el software (El dato no tiene coherencia por si solo). - La Información: Diferente a dato, debido a que la información tiene coherencia en un entorno o contexto. Conjunto de datos con información. - Los Elementos fungibles: Son elementos que se gastan o se desgastan con el uso continuo Ataques más comunes en las redes Ferrer en [13] menciona los ataques y procedimientos más frecuentes: Rastreo. Un rastreador de red es una aplicación o un dispositivo que puede supervisar y leer los paquetes de la red. Si los paquetes no están cifrados, un rastreador de red obtiene una vista completa de los datos del paquete. El Monitor de red de Microsoft es un ejemplo de rastreador de red. Modificación de datos. Un atacante podría modificar un mensaje en tránsito y enviar datos falsos, que podrían impedir al destinatario recibir la información correcta o permitir al atacante conseguir la información protegida. Contraseñas. El atacante podría usar una contraseña o clave robadas, o intentar averiguar la contraseña. Suplantación de direcciones. El atacante usa programas especiales para construir paquetes IP que parecen provenir de direcciones válidas de la red de confianza. Ataque de Nivel de aplicación. Este ataque va dirigido a servidores de aplicaciones al explotar las debilidades del sistema operativo y de las aplicaciones del servidor. 8

9 Ataque Intermediario. En este tipo de ataque, alguien entre los dos equipos comunicantes está supervisando activamente, capturando y controlando los datos de forma desapercibida (por ejemplo, el atacante puede estar cambiando el encaminamiento de un intercambio de datos). Denegación de servicio. El objetivo de este ataque es impedir el uso normal de equipos o recursos de la red. Por ejemplo, cuando las cuentas de correo electrónico se ven desbordadas con mensajes no solicitados. En [15] se relacionan los aspectos de la vulnerabilidad de seguridad en Internet y detalla los siguientes aspectos: Vulnerabilidad en sistemas Windows o o o o o Servicios de Windows Internet Explorer Librerías de Windows Microsoft Office y Outlook Express Debilidades de Configuración de Windows Vulnerabilidad en aplicaciones Multiplataforma o o o o o o o o o o Software de Respaldo Software Antivirus Aplicaciones basadas en PHP Software de Bases de Datos Aplicaciones para Compartir Archivos Software DNS Reproductores Multimedia Aplicaciones de Mensajería Instantánea Navegadores Mozilla y Firefox Otras aplicaciones Multiplataforma Vulnerabilidad en sistemas Unix o o Debilidades de Configuración de UNIX Mac OS X Vulnerabilidad en productos de redes o o o Productos Cisco con IOS y sin IOS Juniper, CheckPoint y Productos Symantec Debilidades de Configuración de Dispositivos Cisco Estos, entre otros son los aspectos vulnerables en la seguridad de Internet. 9

10 Figura 1. Posible Flujo de la información Debido a que los datos son la parte más importante a proteger y generalmente la más vulnerable y menos probable de recuperar. La figura No. 1 muestra de forma grafica el flujo de los mensajes con las variantes de ataques que se pueden presentar durante la transmisión de la información y el Anexo F una tabla para analizar los recursos afectados de acuerdo a diferentes causas. Flujo Normal: El mensaje se transmite por el canal de comunicaciones normalmente. Interrupción: se pierda. El objetivo del ataque de interrupción consiste que el mensaje Interceptación en el transmisor y/o en el receptor: Un elemento ajeno consigue tener acceso a los mensajes, este elemento se entera del contenido del mensaje. Modificación: Una entidad ajena logra modificar el mensaje. 10

11 Generación y/o fabricación: La entidad ajena logra general mensajes como si fuera la fuente original Elementos Atacantes Los elementos que se deben proteger pueden ser dañados por: humanos, programas de computador, catástrofes naturales y/o elementos desconocidos [1]. Ellos son los que describe [1], y se detallan a continuación. Las personas corresponden a la mayor parte de atacantes. En algunos casos se trata de piratas que pueden causar grandes pérdidas. Los tipos de personas que atacan son: - Personal: Empleados, personal técnico, secretariado, personal de seguridad, personal de servicios generales, entre otros. Ellos, más que otros conocen las debilidades de la compañía. De otro lado el personal puede accidentalmente ocasionar ataques, por desconocimiento o por error. Según Computer Associates (información del año 2007), el 65% de los robos de información los hacen los empleados. Ejemplo: Cortar el flujo de energía en la compañía para realizar una reparación, son tan peligrosos como ataques físicos o lógicos. Otro ejemplo corresponde a que personas de la compañía establecen contacto con agentes externos a la compañía y rebela sin intención falencias de seguridad. - Ex empleados: Generalmente permanecen registrados por varios meses en el sistema, permitiendo que puedan acceder a niveles de administración mayores. Se basan en disculpas como no me han pagado lo justo ó veamos si todavía tienen esta falla en el sistema, etc. - Curiosos: Por naturaleza las personas son curiosas no destructivas (con excepción del borrado de huellas, que se realiza para evitar la detección). En la mayoría de los casos se hace para leer el correo de un compañero, copiar una tarea o por el simple propósito de violar la seguridad. - Crackers: Debido a que las redes son sistemas abiertos que permiten conexiones remotas y algunos equipos conectados a ellas son vulnerables, por no tener políticas de seguridad, de esta forma un atacante puede usar un Exploit sobre los equipos o técnicas para que este sistema sea un punto intermedio para atacar otros sistemas. - Terroristas: Es cualquier persona que ataca el sistema para causar un daño (borrar, desaparecer, demorar) en procesos o información vital. 11

12 - Intrusos remunerados: Grupo de personas más peligroso. Afecta a sistemas y/o organizaciones grandes, son ocasionados por expertos y pagos por una tercera persona, son ejemplos: el robo de información, robo de diseños, ubicación de satélites, o dañar la imagen de una compañía. Los programas (malware): Son amenazas lógicas creadas con este objetivo que atentan contra la seguridad del sistema. Entre los diferentes ataques lógicos, se pueden encontrar: - Software incorrecto: Son errores cometidos al desarrollar un programa de forma involuntaria, es una situación no contemplada. Estos errores se denominan bugs y los programas que aprovechan esta falencia en el sistema son llamados exploit. - Herramientas de seguridad: El administrador de seguridad es el encargado de configurarlo y administrarlo para detectar y solucionar fallos en el sistema. Un intruso (si es el administrador) las puede utilizar para atacar el mismo u otros sistemas. Hay programas de seguridad como NESSUS, SATAN o SAINT que pasan de ser útiles a ser malignos. Puertas Traseras: son llamados atajos para los programadores, son utilizados por ellos cuando al realizar una acción. Por ejemplo la validación para entrar al sistema requiere de digitar cuatro veces diferentes contraseñas, entonces ellos acceden con una clave especial (se utiliza para no perder tiempo al momento de depurar el software). Estos programadores pueden olvidar retirar este atajo o para realizar futuros mantenimientos. Con ello el atacante, si descubre esa puerta trasera, tendrá acceso a todo el sistema. - Bombas Lógicas: Son líneas de código que no tienen ninguna función hasta que son activadas. Los activadores son ausencia o presencia de archivos, la ejecución mediante una contraseña o la llegada de una fecha. - Canales Cubiertos: Son canales no autorizados u ocultos que transfieren información (local o remotamente). Ejemplo de este tipo es el puerto finger, que puede estar abierto y se puede usar la técnica convert channel para violentar el sistema. - Virus: Son líneas de código que se insertan en archivos ejecutables, de forma que cuando se ejecuta el archivo el virus también lo hace. En sistemas operativos de unix y/o Linux, entre otros no es muy peligroso este malware. Hay que tenerlos en cuenta. - Gusanos: Programa que es capaz de ejecutarse y expandirse por si mismo, son difíciles de programas y hacen mucho daño. Un gusano automatiza y ejecuta todos los pasos en pocos minutos, mientras que un atacante profesional tomaría varias horas. 12

13 - Caballos de Troya: Son líneas de código ocultas en un programa que se ejecutan junto al programa. El usuario ve como si el programa se estuviera ejecutando normalmente, pero en realidad esta ejecutando actividades y procesos que deterioran la seguridad. - Programa conejo o bacterias: Estos programas tienen como objetivo reproducirse hasta que agotan los recursos del sistema. - Técnica salami: Es un robo programado automáticamente. Este sistema roba bienes en mínima cantidad de una gran cantidad de bienes, de tal forma que por ser grandes cantidades y pequeños las robadas no es fácil de detectarlas. Esta técnica de ataque generalmente se utiliza en sistemas bancarios y en las compañías pequeñas se atacan los sistemas de contabilidad y facturación como por ejemplo. Las catástrofes: Pueden ser naturales (terremotos, inundaciones, humo, atentados de baja magnitud) que son menos probables con respecto a los ataques ocasionados por personas o programas Técnicas de protección Es necesario realizar los análisis de cada una de las amenazas (ver anexo F) que el sistema puede sufrir, las perdidas que se generarían y la probabilidad de ocurrencia son el resultado de este análisis. Es necesario definir las políticas en donde se definen responsabilidades y las reglas que se deben seguir para reducir los efectos de los ataques y/o amenazas. Hay tres mecanismos para definir las políticas de seguridad, los cuales corresponden a: prevención, detección y de recuperación. Quienes se explican a continuación: Prevención: Son técnicas y medidas encaminadas a reducir las amenazas y aumentan la seguridad durante el funcionamiento normal del sistema. Previenen la ocurrencia de violaciones del sistema las técnicas de encriptación. Los mecanismos según [1], corresponden a: - Autenticación: Identifica la entidad en el sistema de manera única y que corresponde a la entidad que verdaderamente es. - Control de acceso: Cualquier objeto debe estar protegido mediante control de acceso. 13

14 - Separación: Definir diferentes niveles de seguridad para cada uno de los objetos, así, se evita el flujo de información entre objetos con diferente nivel de seguridad siempre que no haya una autorización expresa. - En comunicaciones: Se utiliza criptografía, cifrado de clave pública, clave privada, firmas digitales y protocolos seguros, son ejemplos en esta área. Detección: Son las políticas que se utilizan para detectar las violaciones de seguridad o intentos de violaciones. Son ejemplos de ella los programas de auditoria (tripwire). recuperación: Son las técnicas y normas que se ejecutan cuando una violación ya ha sido hecha. Copias de seguridad, software y hardware espejo son ejemplos. Y un subgrupo de este, es el análisis forense cuyo objetivo es determinar el alcance del ataque Pilares de la Seguridad Cuatro son los pilares en seguridad: La seguridad, la confidencialidad, la integridad y la disponibilidad, los cuales se explican a continuación Seguridad Pilar basado en la tecnología, las personas y los procesos. Garantiza la seguridad de los elementos contra los ataques Confidencialidad Los elementos que se están protegiendo pueden ser accedidos únicamente por las personas que tienen autorización para hacerlo. Y la confidencialidad puede ser amenazada si alguien externo intercepta los paquetes que viajan de un lado a otro Integridad Se refiere a que los elementos no hayan sido borrados, copiados o alterados en los tres puntos básicos y claves en el trasporte (origen, canal de comunicaciones o destino) por personas, sistemas o elementos externos. 14

15 Disponibilidad S e refiere a los métodos de precaución contra posibles daños, la consulta, la modificación o el borrado, que pueden sufrir los elementos que se involucran en la seguridad y que pueden ser denegados siendo procesos autorizados Autenticidad La autenticidad según [5]: La autenticación de una computadora difiere con los términos de los humanos: para una PC, autenticar no es lo mismo que identificar. Por ejemplo, en un sistema de seguridad donde se verifica la voz, el sistema se encarga de buscar un patrón en su voz para distinguir quién es. Este reconocimiento es de identificación, pero todavía falta la parte en que el usuario dice una frase o palabra clave, y es aquí donde la autenticación tiene efecto. Los métodos de autenticación para verificación de identidad pueden clasificarse en tres categorías, a saber: Categoría 1: algo que el usuario sabe. Un dato esencial, puede tratarse de algo de su persona o bien de un simple o complejo password (contraseña). Categoría 2: algo que el usuario lleva consigo. Puede ser un documento de identidad, una tarjeta o cualquier otro elemento que lleve consigo. Categoría 3: propiedad física o acto involuntario. La pupila, la voz y la huella dactilar son ejemplos de propiedades físicas de un individuo y firmar es un acto involuntario, ya que uno no está pensando en hacer cada trazo, sino que los realiza en conjunto. En otras palabras la autenticidad corresponde a que los elementos involucrados en la seguridad deben ser reales Amenazas a los Elementos que se Protegen Las amenazas se clasifican de acuerdo al aspecto que son originadas y las cuales se clasifican para dispositivos móviles según [6] a: 1. Amenazas a la interfaz de radio. 2. Amenazas a otras partes del sistema. 15

16 3. Amenazas asociadas a las tarjetas de circuito integrado UMTS y a los módulos de identidad del servicio de los usuarios ó (UICC/USIM) Protocolos de Seguridad El grupo de trabajo en Ingeniería de Internet IETF (Internet Engineering Task Force), creo el área de seguridad con el nombre SG 17, quien es el encargado de la seguridad en redes de datos y programas informáticos de telecomunicaciones. La función principal es la de proveer la seguridad en los protocolos de comunicaciones. Para detallar otros protocolos de seguridad vea el anexo B Seguridad IP (IPSec) Funciona en el nivel de red (transparente para el usuario) y se refiere a IPSec es un conjunto de protocolos de seguridad que permite agregar encriptado y autenticación a las comunicaciones IP. Mientras el encriptado puede evitar que un usuario no autorizado como un hacker pueda leer un mensaje, el autenticado puede evitar los ataques a un sitio, originados de sitios externos no deseados o hasta de dentro de la propia red del sitio. [9]. La base de la arquitectura de seguridad corresponde al RFC 2401, pero el marco que define la implementación de la seguridad hace que sea necesario conocer los RFCs: RFC 1320, RFC 1321, RFC 1828, RFC 1829, RFC 2040, RFC 2085, RFC 2104, RFC 2144, RFC 2202, RFC 2207, RFC 2268, RFC 2367, RFC 2401, RFC 2402, RFC 2403, RFC 2404, RFC 2405, RFC 2406, RFC 2407, RFC 2408, RFC 2409, RFC 2410, RFC 2411, RFC 2412, RFC 2451, RFC 2522, RFC 2523, RFC 2631, RFC 2631, RFC 2709 y que los menciona también [11]. El IPSec se encarga de: - Proporciona confidencialidad mediante el cifrado en el momento de transmitir un mensaje. - En el proceso de autenticación mutua entre equipos, Ipsec utiliza Kerberos V5 para la autenticación de equipos. - Proporciona integridad y autenticación de datos entre equipos. Proceso que se realiza por asociaciones entre equipos, por ello puede asegurar la comunicación remota y/o entre equipos de una red LAN. - Limita y restringe la comunicación a determinados protocolos, puertos y equipos. - Cifra los datos mediante DES (Data Encryption Standard), Triple DES (3DES), o DES de 40 bits. 16

17 - IPSec utiliza formato de paquetes estándar en la autenticación o el cifrado de datos, es por ello que los equipos intermedios no pueden distinguir entre paquetes IPSec o no. - IpSec tiene compatibilidad con claves públicas, claves compartidas y acepta certificados de seguridad y utiliza administración centralizada mediante directivas de grupo. E l RFC 2401 corresponde a la arquitectura de seguridad para el Protocolo de Internet, ofrece cinco componentes: 1) Asociaciones de seguridad, 2) encabezado de autenticación, 3) Carga útil de encapsulado de seguridad, 4) Gestión de claves y 5) Intercambio de claves, y que cada uno de ellos se detalla en [10] y que a continuación se describen: Asociaciones de Seguridad (SAs) Provee los métodos para que dos partes puedan intercambiar datos de manera segura, que concuerden los parámetros de seguridad. Un SAs es requerido para seguridad en tráfico unidireccional o en una única vía (Simplex). Por lo tanto la seguridad en doble vía (full/duplex) requiere dos SAs. El conjunto de protocolos IPSec especifica los siguientes parámetros: - Modo de autenticación del encabezado (AH) - Algoritmos y claves. - Algoritmo de cifrado de ESP (Encapsulation Security Payload) - Como intercambiar claves. - Cada cuánto se cambian las claves. - Vida útil de la SA. - Dirección fuente de la SA Encabezado de Autenticación (AH) Especificado en el RFC 2402, el cual permite que las partes que se comunican mediante IP comprueben que los datos no se hayan cambiado durante la transmisión y que se originan de la fuente original de información. Además, de la autenticación del encabezado permite la integridad de datos sin conexión (NOAC) y provee la protección contra ataques de repetición. Todo este proceso es realizado por un bloque de control que se agrega al paquete de datos mediante un algoritmo de troceo. Los campos que se destacan en AH son: 17

18 o o El índice de parámetro de seguridad (SPI): Que especifica el grupo de protocolos que se utiliza en el transmisor. El número de secuencia es utilizado para impedir ataques de repetición al impedir que varias veces se procese un paquete. El campo de encabezado de autenticación (Ver Figura 2.) almacena el número de control del bloque en el origen. El mismo procedimiento se realiza en el destino, posteriormente se comparan los dos códigos de control de bloque en el destino, y se toma la decisión. Figura 2. Encabezado de autenticación en un paquete [12] La Figura 2, muestra la estructura del paquete que se integra de Encabezado IP original, encabezado de autenticación, encabezado TCP y los datos TCP. Figura 3. Procedimiento de autenticación AH [18] La figura 3. Muestra el procedimiento de autenticación en Internet de AH. En donde: 18

19 En el emisor: - Se crea el mensaje - Se realiza una transformada mediante un algoritmo hash entre clave AH y el mensaje original generando el MAC. - El MAC de paquete IP incluidos los campos cabecera AH y se descartan los campos variables (TTL, TOS, Flags, Offset y Checksum). - Se carga el procedimiento en el campo AH - Se envía por la red el mensaje. En el receptor: - Se recibe el paquete IPSec. - Se filtra el mensaje recibido y la clave AH, para calcular el MAC. - Se compara el MAC calculado con el campo MAC recibido. - Si son iguales es autenticado el paquete, si son diferentes el paquete ha sido alterado. La seguridad AH garantiza para el paquete IPSec no sea repetido y que el origen sea autenticado y que no haya sido modificado (corresponda al original) Carga útil de encapsulado de Seguridad (ESP) ESP (encapsulating Security Payload) corresponde a los datos que transmite el usuario y que están encriptados para que una entidad tercera no pueda monitorear los datos (Ver Figura 4). El algoritmo corresponde a la verificación de suma criptográfica especificado en la normas de cifrado de datos (Data-Encryption Standard: DES) quien usa un cifrado de 56 bits - IETF RFC 2405 (Norma propuesta) y la norma de triple DES (3DES) quien usa un cifrado de 168 bits pasando los datos a través del algoritmo DES tres veces - IETF RFC Los siguientes algoritmos usados en encriptación de datos los explica Kwok en [16]. Algoritmos Hashing: o MD5 o SHS Algoritmos de clave secreta y publica Algoritmos de clave secreta o Cifrado de Bloque y de cadenas o DES y 3DES 19

20 o o El AES estándar El RC4 Algoritmos de clave pública o o o Criptografía estándar de clave pública Algoritmo RSA Firma Digital DSA ECDSA La figura 4. Muestra el procedimiento de encripción de la carga útil ESP. donde: En En el emisor: - El usuario o la fuente de información crea el mensaje - El mensaje es encriptado con un algoritmo, se utiliza una clave para este procedimiento. - El mensaje es cifrado. - Se cargan los datos cifrados en el paquete IPSec, campo datos. - Se envía por la red el mensaje. Figura 4. Procedimiento de encriptado de la carga útil [18] 20

21 En el receptor: - Se recibe el paquete IPSec. - Se extraen los datos del paquete IPSec. - Se aplica el algoritmo de desencriptación junto con la clave - Se obtiene el mensaje descifrado. La seguridad en el campo de datos (payload) garantiza la confidencialidad, la autenticación, la integridad y el servicio de repetición de los paquetes Gestión de Claves Hay dos métodos de intercambio de claves, el primero es utilizar codificación manual (sitios pequeños), el segundo, puede utilizar el protocolo IETF RFC 2409 (Intercambio de llaves en Internet (Internet Key Exchange: IKE)) y que se referencia en [17]. La gestión de claves manual proporciona las siguientes características: - Se denomina Pre-Shared Keys (PKS) - El usuario configura manualmente cada sistema con las claves y asociaciones de seguridad. - Generalmente se usa en entornos reducidos o en fase de pruebas. - Es poco seguro. La gestión de claves automática proporciona las siguientes características: - El protocolo determinado es IKE (Internet Key Exchange, RFC 2409) - IKE combina tres protocolos, el ISAKMP (autentica e intercambia claves), el protocolo Oakley (basado en DH) y el protocolo SKEME (intercambio de claves) Intercambio de Claves Dos tipos de intercambio soporta IPSec. El intercambio manual y el intercambio de claves Internet (IKE): El intercambio manual, tiene muchas desventajas, entre ellas: - Es necesaria la intervención humana. - El atacante tiene mayor tiempo para violar el sistema. - Hay una probabilidad de error, debido a que la misma clave se debe configurar en ambos extremos. 21

22 - Si la persona que realiza la configuración deja la compañía, se deben realizar muchos cambios. - Las claves de configuración deben ser protegidas contra ataques externos. El intercambio de claves Internet (IKE), proporciona las siguientes características: - Tiene las funcionalidades para que las partes se pongan de acuerdo sobre los protocolos, algoritmos y claves que se usan. - Seguridad desde el inicio del intercambio de la identidad de las partes. - Gestión de claves y seguridad en el intercambio de las claves. El IKE funciona en dos fases: La primera fase se establecen canales seguros para efectuar operaciones sobre claves y sobre asociaciones. En la segunda fase se presentan tres modos de intercambio, modo principal, modo dinámico y modo rápido. Figura 5. Procedimiento del protocolo IKE [18] El proceso de IKE es el siguiente (Ver Figura No. 5): 1. Tanto transmisor como receptor se encargan de negociar los algoritmos criptográficos. 2. Se utiliza el algoritmo de Diffie-Hellman, no se transmiten las claves. Se intercambia públicamente información de las claves. El intercambio del material de las claves permite generar una clave compartida idéntica. 22

23 3. El receptor y el transmisor realizan una autenticación de las claves generadas a partir del material de las claves de cada uno de los nodos. 4. Por último, se realiza la negociación de asociación de seguridad (SA) una por cada nodo Seguridad Modo Túnel y Seguridad Modo Transporte En el modo túnel [Norma RFC2709], el datagrama IP se encapsula completamente dentro de un nuevo datagrama. En el modo transporte, solo maneja la carga del datagrama IP y le inserta la cabecera IPSec entre la cabecera IP y la cabecera del protocolo de capas superiores (Ver Figura 6). Figura 6. AH y ESP en modo Túnel y en modo transporte [19] El formato de IPSec depende del protocolo utilizado (AH o ESP) y sobre el modo (túnel o transporte) con el cual se están comunicando los extremos. La autenticación o encriptado es diferente para el protocolo en AH o para el protocolo ESP. El encabezado de autenticación (AH) y la carga útil de encapsulado de seguridad (ESP) son dos protocolos para asegurar la autenticación, integridad y confidencialidad de la comunicación (Ver tabla No. 1). Puede proteger el datagrama IP completo (modo túnel) o sólo los protocolos de capa superior (modo de transporte). Parámetro de Seguridad ESP (cifrado) ESP (cifrado y 23

24 AH autenticado) Control de acceso Si Si Si Integridad de conexión Si No Si Autenticación del origen de Si No Si los datos R e c h a z o d e p a q u e t e s Si Si Si modificados Confidencialidad No Si Si Confidencialidad limitada por No Si Si el trafico Tabla 1. Diferencia entre AH y ESP [18] SSL (Security Socket Layer) El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra ubicado entre los niveles TCP/IP y los protocolos HTTP, FTP, SMTP, etc. proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. [20], está formado, a su vez, por dos capas y cuatro componentes bien diferenciados como se observa en la Figura No. 6. SSL es uno de los protocolos más utilizados para servicios de seguridad en Internet junto al IPSec. Utiliza criptografía simétrica y asimétrica. Su última versión fue desarrollada en el año El Protocolos SSL Entre las funciones del Protocolo SSL se destacan las de permitir que tanto servidor como el cliente se autentiquen y que entre ellos se establezca una comunicación cifrada. En la autenticación del servidor (y/o cliente opcional) permite que el usuario (y/o servidor) confirme la identidad del servidor (y/o cliente). El cliente y el servidor deben soportar SSL y comprobar que el certificado del servidor (cliente) (y su identificador público) ha sido emitido por un CA (compañía de autenticación) de confianza. La comunicación cifrada se realiza en el origen de la transmisión y los datos son descifrados en el destino, por ello se puede detectar si han sido alterados o no 24

25 los datos. Los protocolos que se listan en la Tabla No. 2, pertenecen a la capa de aplicación de TCP/IP, los cuales utilizan SSL. Identificador Puerto TCP Descripción https 443 http sobre SSL smtps 465 SMTP sobre SSL nttps 563 NTTP sobre SSL ldaps 646 LDAP sobre SSL telnets 992 TELNET sobre SSL imaps 993 IMAP sobre SSL ircs 994 IRC sobre SSL Pop3s 995 POP3 sobre SSL ftps-data 989 FTP-Datos sobre SSL Ftps-control 990 FTP-Control sobre SSL Tabla 2. Protocolos Seguros con SSL en TCP [27] El protocolo SSL (Ver Figura No. 7), se divide en dos niveles de protocolos: El nivel Inferior compuesto por SSL Record Protocol (registro) quien provee servicios básicos de seguridad a aplicaciones http, telnet, y ftp entre otros. El nivel superior por tres protocolos: el Handshake, el Change Cipher Spec y el Alert. Figura 7. SSL en TCP/IP El procedimiento del protocolo de Registro SSL (Ver Figura No. 7) es: 25

26 1. Toma los datos de la aplicación a enviar. 2. Fragmenta en bloques los datos de hasta byte. 3. Comprime los bloques sin pérdidas (opcional). 4. Añade un MAC mediante un algoritmo similar a HMAC. 5. Cifra los bloques y el HMAC. 6. Añade una cabecera. 7. Introduce el bloque resultante en un segmento del TCP/IP y lo envía. 8. El receptor descifra, verifica, descomprime y ensambla los bloques. Figura 8. Procedimiento del Protocolo de Registro SSL [26] En resumen el protocolo SSL Record se encarga de encapsular el trabajo de los elementos de la capa superior, construyendo un canal de comunicaciones seguro entre los dos extremos, los cuales son objeto de la transmisión. El Protocolo Handshake: Protocolo utilizado en la fase de negociación. Su principal función es la de intercambiar la clave que se utilizara durante la transferencia segura (aplica un algoritmo simétrico). Se autentica el servidor junto con el cliente, para después generar el secreto compartido. Otras funciones son las de negociar los algoritmos de cifrado, los métodos de intercambio de claves y las funciones de resumen. Handshake proporciona confidencialidad con una clave secreta compartida la cual se usa para cifrar los datos y proporciona integridad en donde se define una clave secreta compartida para genera un MAC. El formato de los mensajes estan constituidos por tres campos (Type de 1 byte, Length de 3 byte y content de màs de 1 byte). Ver Anexo E. 26

27 El procedimiento que ejecuta el protocolo de registro en la fase de saludo es el siguiente: 1. Se intercambian mensajes entre cliente y servidor (juegos de cifrado, datos aleatorios, incluye certificado si es necesario). Autenticación del cliente al servidor 2. Se intercambian mensajes entre servidor y cliente (juego de cifrado, datos aleatorios, incluye certificado). Autenticación del servidor al Cliente (opcional). 3. El cliente crea un secreto premaster, lo cifra con la clave pública y se lo envía al servidor. 4. El servidor genera el secreto master a partir del secreto premaster cifrado. 5. Cliente y servidor usa el secreto master para generar las claves simétricas de sesión. 6. El cliente finaliza el saludo con dos mensajes (uno cifrado y el otro no) 7. El servidor finaliza el saludo con dos mensajes (uno cifrado y el otro no). 8. Inicia la sesión SSL. El protocolo Handshake consta de cuatro fases: La fase de establecimiento de capacidades de seguridad, la fase de autenticación del servidor e intercambio de claves, la fase de autenticación del cliente e intercambio de claves y la fase de finalización. El Protocolo Alerta: Su principal función es la de gestionar la sesión y esta encargado de señalizar los problemas, advertencias y errores en la transferencia cuando se utiliza SSL a la entidad par. Este protocolo se constituye de 2 byte. Uno para nivel de alerta (1: warning ó 2: fatal), el segundo byte corresponde al tipo de alerta (Ver Anexo D). El Protocolo Change Chipher Spec: constituido por un único mensaje de un byte de valor 1 que representa la notificación en el cambio de estrategia de cifrado. En forma general: SSL Record Protocol, se encarga de encapsular el trabajo de los elementos de las capas superiores. El SSL Handshake, intercambiar la clave que se utilizara para crear un canal seguro, mediante un algoritmo eficiente de cifrado simétrico y además coordina los estados de ambos extremos de la transmisión. El protocolo Alert se encarga de señalizar los problemas y errores involucrados en la conexión SSL establecida. Y el protocolo Change Chipher Spec Protocol se encarga de notificar el cambio en la estrategia del cifrado. 27

28 Funcionamiento de SSL Según [23], los datos que viajan entre transmisor a receptor se cifran mediante el algoritmo RC4. Un algoritmo de clave pública (RSA generalmente) se utiliza para el intercambio de las claves de cifrado y para las firmas digitales. El algoritmo utiliza la clave pública en el certificado digital en el servidor. Con el certificado el cliente puede verificar la identidad del servidor. La versión SSL 3.0, autentica el cliente, utilizando los certificados digitales del cliente y el servidor. El siguiente es el procedimiento del protocolo de enlace de SSL (Ver Figura No. 9): 1. El cliente envía al servidor una petición de sesión segura. ( Figura 9. Funcionamiento SSL con autenticación del Servidor [23] 2. El servidor envía al cliente un certificado x.509 que contiene la clave pública del servidor. 28

29 3. El cliente autentica el cerificado con una lista CA conocida. Si la CA es desconocida, el navegador puede ofrecer al usuario la posibilidad de aceptar el certificado bajo su propia responsabilidad. 4. El cliente genera una clave simétrica aleatoria y la cifra utilizando la clave publica del servidor. 5. El cliente como el servidor conocen la clave simétrica y cifran los datos del usuario final utilizando la clave simétrica mientras dure la sesión Protocolo de Transferencia de Hipertexto Seguro S-HTTP (Secure hypertex Transfer Protocol), fue desarrollado por enterprise Integration technologies (EIT). Protocolo que permite el cifrado, y la autenticación digital. Este protocolo se encuentra en el nivel de aplicación que extiende el protocolo http. El protocolo incluye cabeceras MIME que adopta la confidencialidad, autenticación, integridad e irrenunciabilidad de las transacciones. A diferencia de SSL, S-HTTP sólo afecta a las transacciones HTTP, sin extender su cobertura a otros protocolos habituales en Internet. Por lo demás, S-HTTP y SSL pueden convivir, utilizándose uno u otro en diferentes instantes de una transacción comercial, o incluso utilizándose simultáneamente [28] Calcular los Niveles de Riesgo de los Recursos Involucrados Los factores que determinan los riesgos según [29] corresponden a: - Estimación del riesgo de pérdida del recurso (lo llamaremos Ri) - Estimación de la importancia del recurso (lo llamaremos Wi) Como lo menciona el manual de Seguridad en [29]: Como un paso hacia la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico. Por, ejemplo, al riesgo (Ri) de perder un recurso se le asigna un valor de cero a diez, donde cero, significa que no hay riesgo y diez es el riesgo más alto. De manera similar, a la importancia de un recurso (Wi), es posible asignar un valor de cero a diez, donde cero significa que no tiene importancia y diez la máxima importancia, la más alta. La evaluación general del riesgo será entonces el producto del valor del riesgo y su importancia (también llamado el peso). Esto puede escribirse como: WRi = Ri * Wi 29

30 Donde: WRi es el peso del riesgo del recurso i también lo podemos llamar ponderación) Ri: Es el riesgo del recurso i Wi: Es la importancia del recurso i [29] Figura 10. Ejemplo para cuantificar el Riesgo en una Red [29] La figura No. 10 muestra la cuantificación de acuerdo a los parámetros anteriores para Ri y Wi (estos valores son subjetivos y dependen del administrador de la red). Esta red esta compuesta por un router, un bridge y un servidor, entonces cuantifiquemos el riesgo: Router: Bridge: R1: 6 W1: 7 30

31 Servidor: R2: 6 W2: 3 R3: 10 W3: 10 El calculo de los riesgos evaluados, será para cada dispositivo: Router: Bridge: Servidor: W1: R1 * W1 = 6 * 7 = 42 W2: R2 * W2 = 6 * 3 = 18 W3: R3 * W3 = 10 * 10 = 100 Para ello, Puede organizar la información de acuerdo a lo que se muestra en el anexo G y puede basar su análisis en la importancia de cada elemento de acuerdo a las tablas presentadas en anexo F. De acuerdo a estudios realizados en [29] afirma que el 80% de los ataques provienen de agentes internos de la compañía y solamente el 20% restante proviene de los elementos externos a la compañía. Antes de definir las políticas de protección es necesario determinar quienes son los actores que utilizan estos recursos, junto con la agrupación y que posteriormente se pueden identificar los grupos de usuarios. Para ello es necesario determinar los recursos usados y los permisos que tendrá (Ver Figura No. 11) Figura 11. Uso de Recursos Por Usuario [29] Además, el encargado de las políticas de seguridad tendrá en cuenta el Anexo H. Una aproximación acerca de cómo proteger los recursos de los problemas originados por el cliente interno consiste en la identificación del uso correcto 31

32 de los mismos por parte de estos [29] y también de establecer los procedimientos claros de los procedimientos que a continuación se mencionan Sobre los Procedimientos de Seguridad Los procedimientos aquí definidos se enuncian en [29]: Solicitar una cuenta de usuario Para el procedimiento de solicitud de cuenta de usuario en el sistema, es necesario controlar la asignación de cuentas de todos los usuarios del sistema de acuerdo al formulario descrito como ejemplo en el anexo I Retiro de una Cuenta Para el procedimiento de dar de baja una cuenta de usuario del sistema, es necesario contro sistema Procedimiento para Definir un Password El procedimiento para definir un buen password de acceso a los sistemas, requiere la definición de contraseñas de los usuarios. Ello es primordial para el éxito de la seguridad del acceso al sistema. Es necesario explicar la cantidad de caracteres mínimo que tiene la contraseña, no debe tener relación directa con las características del usuario, el contenido de la contraseña debe incluir números, caracteres y otros símbolos y además debe incluir la lista de los caracteres no utilizables y llevar de forma automática un historial de las contraseñas utilizadas por el usuario. Una vez el usuario haya definido la contraseña, el departamento ó área debe correr un programa cracker para determinar la fortaleza de la contraseña, que determinara el tiempo que tarda en romperse la seguridad don dicha contraseña Verificación de Accesos al Sistema 32

33 En el procedimiento de verificación de accesos al sistema se debe especificar. Los archivos de auditoria, los sistemas logs del sistema, entre otros tiene como fin el de detectar actividades anormales. Se debe establecer manual o automáticamente el comportamiento del usuario frente al sistema, de tal forma que el sistema detecte comportamientos anormales y no usuales para que se activen las alarmas Chequeo del Trafico de la Red El procedimiento para el chequeo del tráfico de la red permite determinar el tráfico y comportamiento de la red en el momento que el sistema analizador detecte un cambio y/o síntomas de agresión o mal uso del sistema. Un ejemplo del análisis se muestra en el Anexo K Monitoreo de Volúmenes del Correo Permite establecer el promedio de volúmenes de correo del servidor de correo, dichos procedimientos se establecen basándose en los informes generados por el software de análisis estadístico para el tráfico del correo electrónico. Una vez detectado el comportamiento usual e inusual del tráfico de correos es importante definir los procedimientos a seguir Monitoreo de Conexiones Activas El procedimiento para el monitoreo de conexiones activas se ejecuta para detectar a usuarios que dejen la consola habilitada y alguien pueda utilizar la cuenta. Dicho software establece tiempos de no uso de la máquina, cierre del sistema y genera logs en caso de sobrepasar el tiempo limite Modificación de archivos Este procedimiento de modificación de archivos detecta los cambios no autorizado, la integridad y la traza de las modificaciones de los archivos. Para ello es necesario establecer quien es el encargado del seguimiento y de actuar en caso de alarmas. 33

34 Backups de Archivos El procedimiento de backups de archivos debe establecer en donde, cuando y como nombrar los backups, si son tomados automáticamente con que periodicidad y quien es el responsable. Y de que forma actuar en caso de problemas Verificación de las Máquinas de los Usuarios Este procedimiento de verificación de las máquinas de los usuarios debe detectar programas anormales que no deben estar presentes en los equipos, detecta problemas de licenciamiento y quienes pueden ser las fuentes de virus. El procedimiento debe explicar que hacer en estos casos Dar a Conocer las Normas de Seguridad En el procedimiento para dar a conocer las normas de seguridad se debe establecer con aspectos como: la forma de dar a conocer las normas de seguridad (por ejemplo: mediante envió de mail, exposición de transparencias o por notificación expresa), quien estará a cargo y las atribuciones que tiene Establecer los Usuarios y grupos por Defecto En el procedimiento para establecer los usuarios y los grupos a los cuales pertenece por defecto, este formato debe contener las políticas para determinar que reglas de usuarios y los grupos que se aplican, se debe describir los pasos para cambiar un usuario de privilegios, cual es la forma de documentar y que formulario usar, y quienes son los responsables de esta tarea Recuperar Información El procedimiento para recuperar información es muy útil para reconstruir todo el sistema en un sistema mirror (espejo) a partir de backups existentes, fecha de ejecución de este procedimiento y responsables Lista de Chequeo 34

35 Corresponden a listas con ítems sobre los cuales hay que estar atentos a chequear en el funcionamiento del sistema. Para ello lea el Anexo L Tipos de Ataques y Vulnerabilidad Algunas técnicas de ataque son mencionadas de tal forma que se detecten las vulnerabilidades de los diferentes dispositivos y/o sistemas Negación del Servicio Tipo de ataque cuya principal función corresponde a negar un determinado servicio o sus propios recursos, ejemplos de estos ataques son: inundar la red, tentativas de interrumpir las conexiones entre dos máquinas, negar la entrada login y password de un usuario o de servicio a un usuario o sistema. Por otro lado, otras tentativas pueden ser las de negar el servicio mediante el servicio FTP, el cual un hacker tenga acceso y copie archivos para que la capacidad de almacenamiento de una maquina sea disminuida. Los modos de negación de servicio se dan utilizando maquinas antiguas, como modems de vieja tecnología que pueden ocasionar que un sitio sofisticado quede inutilizado por vario tiempo. Los tres modos de ataques pueden ser: consumo de recurso, alteración de archivos de configuración y atentados contra los componentes de una red Consumo de Recurso Escaso, no Renovable y/o Limitado Entre los recursos: Ancho de banda, espacio de memoria, tiempo de procesamiento del hardware, acceso a otros dispositivos (modems, teclado, Mouse, routers, antenas de telecomunicaciones), entorno de red, entre muchos otros. Ejemplo: Como los hacker pueden destruir el entorno de red de cualquier dispositivo: Primero: El hacker busca establecer conexión TCP con la máquina de la victima. Segundo: Hace que la conexión no se culmine exitosamente (eso logra que la máquina de la victima reserve recurso para una posible, pero no exitosa conexión). 35

36 Tercero: La máquina de la victima se queda esperando atender la solicitud de servicio, mientras otras conexiones legitimas son rechazadas. Cuarto: El hacker repite nuevamente todo el proceso. Este ataque es denominado SYN-flood. Ejemplo: Como un hacker puede utilizar los recursos de otros dispositivos o de usted mismo en negación de servicio UDP: Procedimiento: El hacker utiliza los paquetes UDP falsificados para conectar el servicio de generación de eco en una máquina con servicio chargen [30] en otra máquina. El resultado es que queda afectado el ancho de banda de toda la red. Ejemplo de consumo de ancho de banda: El hacker puede consumir el recurso utilizando generación de eco de ICMP (ping), generalmente el hacker utiliza diferentes máquinas. Ejemplo de consumo de recurso en estructuras de datos del kernel y tiempo de respuesta: El hacker escribe un programa que no haga nada, pero que en varias ocasiones se copie así mismo. Otra técnica es generar errores que deben ser logeados por el sistema operativo (ej. Syslog de unix) aquí el sistema operativo registra eventos de otras máquinas ocasionando el llenado de disco de almacenamiento con el archivo syslog, puede consultar [31], y otra es, escribiendo archivos en su disco mediante el servicio FTP. Y como lo dice [29] Siempre disponga de un método para acceder ante la emergencia de este tipo de ataques Destrucción y/o Modificación de Archivos de Configuración Todos los sistemas operativos y todo el hardware es vulnerable a las configuraciones. Configuraciones mal hechas pueden hacer que sus dispositivos funcionen en mínimas condiciones o simplemente no funcionen. Si un hacker logra modificar el archivo de configuración de los routers, la red puede quedar deshabilitada ó el hacker puede modificar la registry de Windows para dejar varias funciones abajo ó puede también ocasionar el no booteo de la máquina. 36

37 Destrucción y/o Alteración física de Componentes de Red Entre las técnicas para proteger los dispositivos están: 2. Protección a Routers: Colocar lista de acceso. 3. Instalar parches para ataques TCP-SYN. 4. No activar e inutilizar servicios no necesarios de la red (p.ej. chargen, echo). 5. Definir y restringir que el sistema operativo permita cierta cantidad de archivos por directorio, además separe los archivos importantes de los menos importantes. 6. Analizar el comportamiento del sistema estableciendo parámetros normales, ello permite detectar rendimientos inusuales. 7. Incluir en la rutina de seguridad, la verificación de routers, servidores, terminales no usadas o inactivas, puertos de acceso a la red y los gabinetes de seguridad. 8. Utilizar tripwire que corresponde al software para detectar cambios en la información de configuración u otros archivos. 9. Utilizar configuraciones de red redundantes Cracking de Passwords El procedimiento para hacer este tipo de ataque corresponde a: Primero: Acceder al servidor desde una máquina remota (telnet). Segundo: Consultar el archivo /etc/password por ejemplo en Linux, ahí se encuentran registrados todos los usuarios y los passwords no activos. Tercero: analizar el archivo password, cada línea esta compuesto por siete campos., por ejemplo manter:k989vxd10:130:100:elmanter:/usr/var1:/bin/ksh, corresponde a: Campo 1: manter Es el username, nombre de usuario, login que se emplea para acceder al sistema. Campo 2: k989vxd10 Es el password encriptado. Si el campo contiene un asterisco, indica que la cuenta no se puede utilizar, si todos los caracteres 37

38 contienen asterisco u otro signo indica que las claves están en un archivo shadow. En caso contrario el usuario no tiene contraseña. Si tiene expiración la contraseña los dos últimos caracteres están precedidos de una coma. Campo 3: 130 Corresponde al UID, es el número de usuario, puede ser de 0 a 60000, por lo general inicia en 100. Si es cero 0, este usuario tiene capacidad de super-usuario (tiene acceso a todo el sistema). Campo 4: 100 El GID, número de grupo al que pertenece el usuario, este número esta entre 0 y El cero 0 corresponde al grupo superusuario. Los usuarios del mismo grupo tienen los mismos privilegios para el mismo dominio. Campo 5: ElManter Comentarios del usuario. Campo 6: /usr/var1 Es el directorio home /usr/var1, su directorio de trabajo. Campo 7: /bin/ksh Es el intérprete de comandos o shell, con él dependerá las acciones que pueda ejecutar. Como descubrir un password: Los mecanismos que se utilizan para descubrir y no desencriptar el password, consisten en encriptrar posibles palabras y compararlas con las del archivo de password. Lograr encontrar la contraseña depende de la calidad del diccionario utilizado (archivo de posibles contraseñas), el programa que se utilice, la velocidad de proceso y la dedicación de quien lo hace Spam y Bombardeo También llamado, Bombing y Spamming. Se caracteriza por enviar en muchas ocasiones un correo electrónico similar al mismo correo, de tal forma que se sature el correo del destinatario y el spamming se refiere a enviar un correo electrónico a muchos y a veces a millones de usuarios. También puede ser el resultado de una mala configuración de una autorespuesta. Con este tipo de ataques es difícil en algunos casos determinar el origen de la fuente del mensaje. 38

39 Estas técnicas de ataque redundan en: 1. Inundación del canal de comunicación. 2. Uso de recursos del sistema innecesariamente. 3. Saturación del disco. Y afectan posiblemente al sistema en la negación del servicio Control de Spam y Bombing Los responsables de la integridad del sistema de correo pueden tomar las siguientes pautas de control. 1. Identificar la fuente del correo electrónico. 2. Configurar el router para evitar el acceso del correo electrónico que contenga esa dirección. 3. Configurar una lista de acceso en el puerto 25 del SMTP tipo established. 4. Analizar los header de los correos spam para determinar el origen del correo. 5. Contactar el sitio de donde provienen los mensajes spam para alertarlos y que tomen medidas al respecto. 6. Tenga la ultima versión de daemon de mail, además aumente el grado de detección de este tipo de proceso. 7. Revise frecuentemente el tamaño del archivo log del sistema de correo, quien registra el bombing. 8. Otra solución es no contestar o hacer forward a los correos spam. Los hackers obtienen y/o acceden fácilmente las listas de correo electrónico o listas de interés, las que proporcionan la fuente al hackers Seguridad en el Puerto FTP Antes de mencionar la vulnerabilidad del puesto FTP, es necesario describir cual es el procedimiento de la conexión: Primero: El cliente abre una conexión FTP SERVER por el puerto 21. Segundo: El servidor para responder debe abrir una segunda conexión. 39

40 Tercero: El cliente, entonces envía en el comando PORT al servidor, q uien t i e ne e ntre o t ros p a r á metros l a D I RECCION I P D E L CLIENTE y que puerto abrir en el cliente. Cuarto: El servidor abre el puerto del cliente (especificado en PORT) siendo el puerto número 20 el puerto del servidor. Quinto: Se define en que modo se ejecuta el FTP, los cuales pueden ser: modo activo o modo pasivo. Quien define el modo es el cliente Ataques al Puerto FTP Como se observa en el procedimiento tercero, el hacker puede cambiar los datos del cliente al enviar el comando PORT al servidor. Puede elegir otro cliente que no sea el original. Procedimiento para el ataque al puerto FTP que realiza un hacker: Primero: Segundo: Tercero: El hacker utiliza un servidor puente o intermedio (W), desde ahí (W) solicita hacer una conexión FTP a otra máquina (X). La máquina X determina como origen de la conexión el servidor (W). Cuando X esta en la misma subnet que el servidor W inicia el Ataque. Esta técnica garantiza que desde la máquina verdadera (V) que realiza el ataque ella no sea identificada, ni sea filtrada por los mecanismos y/o filtros de seguridad. Procedimiento de como el hacker salta la seguridad de un firewall Supongamos que una red tiene un servidor FTP anónimo detrás de un firewall, entonces: El hacker utiliza la técnicas de port scan (buscar un puerto) sobre un servidor WEB interno y un puerto arbitrario en una máquina no pública del sitio (Servidor Web en el puerto 8080), como estrategia se establece una conexión a una máquina interna que seria protegida por el firewall en casos normales. En algunos casos, el firewall esta configurado con filtrado dinámico, de tal forma que este dispositivo confía en toda la información que recibe. 40

41 Para este tipo de ataque, todos los sistemas están detrás del firewall que utiliza filtros dinámicos, el hacker entonces aprovecha esta situación con el siguiente procedimiento: - una persona dentro de la compañía, obtiene una página Web y baja un applet construido por el hacker, sin el conocimiento del dueño de la conexión. - Entonces, el applet realiza una conexión de salida ftp a la estación del hacker. - El applet publica un comando PORT de ftp, y la máquina abre una conexión (ejemplo, por el puerto telnet), que se encontraba protegido por el firewall. - El firewall examina los paquetes de salida y analiza el comando PORT y deja pasar la conexión de la máquina remota. Esta conexión por el firewall no es permitida, pero la permite debido a que es establecida por el cliente Protección al Puerto FTP Existen diferentes soluciones para la protección de los puertos, las cuales pueden ser: - Asegurarse que el servidor no establezca conexión con cualquier máquina externa, otras sugerencias describen que se rechace toda conexión FTP por el puerto Suprimir el comando PORT y que únicamente se conecte al cliente de origen. - Verificar las alternativas del comando PORT y los valores por default. - Ningún archivo o carpeta debe estar en el área del FTP (login ftp) anónimo porque el FTP se ejecuta con esa identificación. - No colocar ningún archivo /etc/password en el área FTP. Es necesario crear un archivo simulado que incluya cuentas inexistentes y sin contraseñas reales encriptadas. A estas soluciones se presentan diferentes problemas: - El protocolo FTP utiliza dos conexiones TCP: una entrante y otra saliente, eso dificulta el control. 41

42 - El ftpd, que es el demonio del FTP corre como root y además requiere conexión al puerto 20 que esta en el modo de privilegio. - Por otro lado, el FTP anónimo se ha convertido en un estándar de Internet para intercambiar software gratuito, ello debe ser controlado Servicio WWW En este apartado, enunciaremos los ataques más frecuentes a los servidores WEB, los cuales pueden ser: - El demonio httpd por ser el que soporta los servicios WEB. - El PHF por que en muchos servidores es el servicio de directorio White Pages. - Los script-query y los cgi de prueba son vulnerables a los ataques. En estas formas de ataque las defensas más frecuentes son: - Proteger el sistema operativo que soporte el WEB y - Proteger el sitio WEB de accesos no permitidos. Cuando los hacker atacan el sistema operativo violan un cgi-script o logran algo que el sistema no tiene establecido (como dar acceso al shell). Para este tipo de ataques se sugiere que todos los cgi-script sean probados antes de ser ejecutados sobre el servidor. Desde el punto de vista del sitio WEB la vulnerabilidad esta en la actualización del sitio WEB y la entrada de archivos de nuevos formatos (por ejemplo shtml), por otro lado la lista de usuarios y password de acceso deben estar fuera del alcance de los hackers (fuera del árbol del sitio web), más aún, aunque el archivo index este presente Servicio TFTP El TFTP (trivial file transport protocol) soportado en UTP, dicho protocolo no tienen autenticación, lo que representa un gran riesgo al permitir dicho servicio. Este protocolo es generalmente utilizado para reiniciar: terminales x11, roteadores, entre otros. Para este servicio es necesario restringir el acceso a los directorios /usr/local/boot ó /etc/tftplocalboot. 42

43 [ 2 9 ], código como este y posteriormente ataque de diccionario al archivo password da como 25% de las contraseñas existente. Se recomienda no habilitar este servicio Servicio TELNET Las sesiones TELNET son rápidamente visibles por hackers con el uso de sniffers, lo que significa que la red bajo sniffers localiza cualquier contraseña, para ello se debe usar software o hardware programado por clave secreta. TELNET transmite por la red el password a diferencia del comando remoto rlogin que no lo hace Comandos Remotos Cualquier usuario o cliente puede realizar rlogin por ejemplo si los parámetros de autenticación son los correctos. Así: - Si la conexión se origina desde un puerto privilegiado TCP. - El servidor y el cliente deben estar en /etc/hosts.equiv ó en home.rhosts. - La dirección IP del cliente debe coincidir con la que esta registrada en el servidor. El hacker una vez dentro, puede atacar las máquinas amigas de la máquina hackeada debido a que obtiene las direcciones IP que están registradas también en el servidor y después procede con FTP, UUCP, TFTP a dejar.rhosts en /usr/ftp o UUCP para dejarlo en /usr/spool/uucp public. Se prohíbe el acceso mirando los permisos del servidor. Se recomienda no tener disponible este servicio desde la Internet Herramientas para Controlar La Seguridad del Sistema 43

44 Entre las herramientas para restringir la vulnerabilidad y chequear la seguridad del sistema, son muchas, se describen: tcp-wrappers, netlog, tcplongger, udplongger, icmplogger, etherscan, nstat, argus, tcpdump, satan iss, courney, gabriel, tcplist, nocol, cops, tigre, crack, tripwire, chkwtmp, chklastlog, spar, isof, cpm, ifstatus, osh, noshell, trinux, monitor de eventos, monitor de red, monitor de performance, Internet scanner, scannt, NetXRay, suck Server y red button. Estas herramientas generalmente son de uso doble: usadas para proteger y detectar la vulnerabilidad de las redes de telecomunicaciones. Tcp-wrapper: Protege a los sistemas de conexiones no deseadas a un grupo de servicios de red y ejecuta de forma automática comandos predeterminados, monitoria servicios como Talk, Tftp, Rexec, rsh, rlogin, ftp, finger, systat. Netlog: Herramienta que registra trazas para los servicios TCP y UDP de IP e ICMP, asi como el tráfico sobre la red. Este paquete se conforma por los paquetes: Tcplogger, udplogger, icmplogger. Etherscan, nstat. Tcplogger: visualiza los servicios TCP dejando la traza de las conexiones con hora, máquina de origen, y puerto de cada conexión. Esta utilidad evita ataques tipo SATAN o ISS UdpLogge: visualiza los servicios UDP dejando las mismas trazas que el tcplogger. Esta utilidad evita ataques tipo SATAN o ISS Icmplogger: traza el trafico de icmp, con el puede buscar patrones e intentos de conexión a puertos específicos. Etherscan: monitorea la red buscando ciertos protocolos con actividad inusual. Si hay actividad inusual informa que archivos se han llevado, comandos realizados sobre sendmail (25 tcp) como vrfy,expn, comandos rcp como rpcinfo, peticiones al servicio NIS, peticiones al demonio mountd. Esta herramienta se ejecuta promiscuamente y genera trazas. Nstat: Herramienta que se creo con el propósito de obtener estadísticas de los protocolos. Los encargados de la seguridad la utilizan para ver el comportamiento de los protocolos viendo el patrón de ellos. Argus: 44

45 Permite auditar local o remotamente (en un archivo de trazas) el tráfico de la red de telecomunicaciones, este software (que trabaja a nivel de red) muestra las conexiones que se descubren del tipo TCP, MBONE, ICMP y UDP/DNS. Es necesario utilizar el ra para leer la información de argus. Tcpdump: Software (puede ejecutarse en modo promiscuo) que muestra todas las cabeceras de los paquetes que pasan por la interfaz de red. Puede aplicarse filtros para esta captura y determinar por tipo de protocolos (TCP, IP, UDP, ARP, etc.), analizar por puerto, datos y/o origen o destino de los paquetes. SATAN (Security Administrador Tool for Analyzing Networks) Las funcionalidades que ofrece: Cheque los nodos conectados a la red. Visualiza y registra información sobre el tipo de nodo conectado. Servicios y fallos de los elementos conectados a la red. Analiza la topología de red de la intranet. Y es capaz de detectar: Vulnerabilidad de sendmail. Acceso por FTP. Acceso por rsh. Consulta o acceso a archivos password por NIS. Acceso a servidores. Acceso vía rexec. Este administrador automático tiene una interfaz tipo browser y además de ello relaciona los nodos detectados que son inseguros junto con los elementos que se comunican con él. ISS Programa que revisa el nivel de seguridad de los elementos de una red, chequea direcciones o rangos de direcciones IP. Tiene dos utilidades el ypx (que permite la transferencia del NIS a través de la red) y el strobe (cheque los puertos del nodo analizado). Esta herramienta permite hacer la transferencia de archivos de password configuradas como servidores. Courtney: 45

46 Este software permite identificar el nodo desde donde se están haciendo ataques tipo SATAN, además permite la entrada a través de tcpdump y controla nuevos servicios de TCP/IP. Este software es usado también para realizar un nodo de red. Gabriel: Permite al igual que Courtney detectar ataque tipo SATAN. Identifica los posibles ataques y lo notifica de forma inmediata. Nocol (Network Operation Center On-Line) Software conformado por agentes que monitorea los nodos y la red, sus reportes se basan en el nombre del evento (dato procesado) y cada evento se asocia con una gravedad. Tcplist: Informa este software sobre las conexiones TCP. Monitores de Eventos: Muestra logs del sistema con o sin filtros. incluyen cierres de cuentas. Los logs Monitores de Red: Permite capturar paquetes de red. Monitores de performance: Se optimiza y monitorea el rendimento de la máquina, en algunos casos tienen herramientas de seguridad. Internet Scanner: Software que muestra el mapeo entre las direcciones fisicas de la interfaz y su IP. ScanNT: Herramienta que permite crakear los password sobre Windows NT. NetXRay: Analizador para Windows NT de protocolos que permite: anexar copias sobre otro computador para monitorear remotamente, generar alertas sobre comportamiento de la red y genera paquetes para sondear la red. Suck Server: Ubica puertos TCP/IP consumidos o no usados sobre la Internet. Red Button: Identifica el problema de Windows NT que muestra los registros disponibles desde un nodo remoto. 46

47 2. ESTANDARES DE SEGURIDAD De acuerdo a tres organizaciones internacionales se distribuyen las normas como siguen y de acuerdo a la Figura N0. 12, evolución de las normas de seguridad, Figura 12.Evolución de las Normas de seguridad de tecnologias [4] La figura No. 12. Muestra la visión de conjunto de las normas en el ámbito del grupo GT Y que se sintetiza en: 47