Cuestiones técnicas. Autor: Klaus Möller. CSIRT training course TERENA,

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Cuestiones técnicas. Autor: Klaus Möller. CSIRT training course TERENA, 2002-5"

Transcripción

1 Cuestiones técnicas Autor: Klaus Möller

2 Agenda Como trabajan los intrusos Recolección de información Irrupción a un sistema Ocultando el rastro y atrincherandose Abuso de los sistema

3 Objetivos Familiarizarse con: Los conceptos técnicos detrás de un incidente de seguridad en cómputo La terminología técnica utilizada. Como trabajan los intrusos Que debilidades son explotadas Que puede hacer un CSIRT

4 Como trabajan los intrusos El ciclo de la intrusión Tipos de intrusos Motivación

5 El ciclo de la intrusión El intruso obtiene información de los sistemas disponibles Obtención de información Si el sistema es vulnerable a los tipos de ataque disponibles Se intenta una penetración El intruso oculta el rastro de la intrusión y de la actividad adicional Ocultando y atrincherando El sistema es utilizado para ataques posteriores Intrusión en otros sistemas, DoS, Warez, Y más recolección de información

6 El ciclo de la intrusión: Por qué? Hace a la detección menos probable El administrador local no se preocupa frecuentemente por los ataques actuales El sistema comprometido probablemente no tendrá bitácoras confiables La victima culpará a la organización comprometida Es muy difícil rastrear al atacante a través de varios intermediarios Especialmente si se cruzan idiomas, zonas horarias, sistemas legales Puede Dar acceso a recursos adicionales Más ancho de banda que en la casa del intruso Contactar a sistemas ocultos (p.e. detrás de un firewall)

7 Tipo de intruso 1: Hackers Experto o muy experto técnicamente Realmente encuentra debilidades en software Desarrolla software para explotar debilidades Frecuentemente son pruebas de concepto (proof of concept) Algunas veces son herramientas muy avanzadas Edad: 20+, la mayoría de ellos son varones Motivación: Aprendizaje, fama en una comunidad Tiene un código de conducta para no hacer un daño real Pero: No le preocupa lo que otros hagan con su código

8 Tipo de intruso 2: Script Kiddies Crackers Aprendiz de Hacker Poca experiencia técnica Utiliza las herramientas del tipo 1: Hackers No hay código de conducta Podría interrumpir un servicio, destruir datos Edad: 10+, la mayoría hombres, algunas mujeres Motivación: alardear, Porque yo puedo guerras de IRC, ataques DoS distribuidos

9 Cosas que tienen en común Temerario No les importan las consecuencias legales o cualquier otra. Si las cosas se rompen, es culpa del administrador o del usuario No están realmente interesados en seguridad adicional Si fuese así, ellos harían a los sistemas más seguros Usualmente apolítico, o elige la causa del mes No hay un objetivo en común, solo un caos aleatorio Aman a las computadoras y a la Internet No destruirán (intencionalmente) su patio de juegos.

10 Guerras de IRC IRC: Red de servidores y clientes interconectados Los Script Kiddies adoran apoderarse de canales IRC DoS a miembros del canal: conexiones IRC sin respuesta El atacante es el primero en regresar al canal, y obtiene nivel de operador Puede expulsar a otros del canal, es el rey de la colina Charla de manera privada con amigos, comparten código, cuentas, tarjetas de crédito, sistemas vulnerables, etc. Riñas en el IRC, incita a peleas de DDoS Cuando dos kiddies tratan de apoderarse del mismo canal IRC

11 Recolección de información

12 Obtención de información Escaneos Barridos de ping; ICMP Timestamp, Netmask Escaneos TCP: connect, SYN, ACK, RST, XMAS, Escaneos UDP Pruebas Información de versión (captura de banners, consultas) DNS Como diferenciar escaneos/pruebas de la actividad normal

13 Obtención de información: Ejemplo En las bitácoras del router: 08:45:43 router.test.com : 7w0d: %SEC-6-IPACCESSLOGP: list 101 denied tcp (2789) -> (25), 1 packet 08:45:50 router.test.com : 7w0d: %SEC-6-IPACCESSLOGP: list 101 denied tcp (2907) -> (25), 1 packet 08:47:03 router.test.com : 7w0d: %SEC-6-IPACCESSLOGP: list 101 denied tcp (3698) -> (25), 1 packet Probablemente un escaneo al puerto 25

14 Propósito de los escaneos Enumeración de equipos Encontrar que equipos en un rango IP están en línea Cimientos de cualquier actividad posterior Paso omitido en favor de escaneos de puertos directamente Escaneos de puertos Encontrar que servicios ofrece un equipo, que puertos están abiertos Pero, puertos para TCP & UDP Toma mucho tiempo escanear todos Podría concentrarse en pocos servicios con números de puerto conocidos.

15 Ping y otros escaneos ICMP Envío de paquetes ICMP echo request (tipo 8/código 0) Equipos en línea contestarán con un paquete echo reply (0/0) Posibles falsos positivos, una falta de respuesta puede significar: No hay un sistema presente o Un sistema configurado para no contestar o El paquete de solicitud o respuesta se pierde en el trayecto o se filtra Ping es utilizado por administradores para pruebas de conectividad De manera que un echo request o un echo reply no son filtrados frecuentemente Otros tipos de ICMP pueden ser filtrados o deshabilitados Timestamp (13/0,14/0), Address Mask(17/0,18/0)

16 Escaneos TCP TCP es un protocolo orientado a conexión Antes de intercambiar datos, se debe establecer una conexión El 3-way handshake de TCP hace esto

17 Escaneo connect TCP Se realiza mediante la conexión completa exitosa hacia un puerto conocido Si es exitosa, algún servicio se esta ejecutando sobre ese puerto Un escaneo muy confiable No hay falsos positivos, excepto cuando se filtra mediante firewall Lento, comparado con otros tipos de escaneo Fácil de detectar el patrón Pero cada conexión individual aparenta ser normal Puede ser realizado sin privilegios especiales En Unix, pero no en Windows, otros escaneos requieren tener acceso de root

18 Escaneo SYN TCP Envío del primer paquete, similar al escaneo connect (con la bandera SYN activada) Espera por el primer paquete que responde el equipo a escanear Se recibe un paquete SYN/ACK; el puerto esta abierto Se recibe un paquete RST; el puerto esta cerrado No se recibe respuesta; el puerto podría estar filtrado por un firewall Mas rápido que connect, pero puede generar resultados falsos Paquete SYN, o SYN/ACK perdido o filtrado, (se asume que el puerto está cerrado) RST generado por filtro de paquetes (se asume que el puerto está cerrado) Conexión no completada; se deja conexión TCP semi-abierta Podría ser visto como una lluvia TCP SYN Algunas veces, los escaners envían paquetes RST para cerrar la conexión

19 Escaneo ACK TCP Las banderas SYN y ACK establecidas en el primer paquete Pretendiendo ser una respuesta a una solicitud de conexión saliente Algunos filtros (non-stateful) podrían ver todo normal olvidando que no han visto un paquete SYN inicial Escucha por un paquete de respuesta Un paquete RST; el puerto esta abierto Si no hay respuesta; el puerto esta cerrado Posibles resultados falsos Paquete SYN/ACK o RST perdido o filtrado(asume pto. cerrado) RST generado por filtro de paquetes (se asume puerto abierto)

20 Escaneo XMAS TCP y otros Banderas FIN, PUSH y URG activadas en el primer paquete Uso de la técnica de mapeo inverso Si el puerto esta abierto, el sistema no contestará Si el puerto esta cerrado, el sistema contestará con un paquete RST Riesgo de los falsos positivos Si el paquete RST se pierde o se filtra, se asume el puerto abierto Riesgo de falsos negativos Algunos SO s (WinXX y algunos *nix) contestaran con un paquete RST en puertos abiertos Algunos firewalls e IDS pueden enviar un paquete RST El mismo comportamiento para NULL scan (sin banderas) y FIN scan

21 Escaneo RST TCP Varios paquetes de prueba vistos con la bandera RST activada No puede ser un escaneo No contestar a un paquete con la bandera RST activada Si el puerto esta abierto o no La bandera RST no puede ser utilizada para disparar respuestas Probablemente: un ataque de DoS con una dirección de origen falsa La dirección de origen es victima de un ataque La dirección destino es el equipo de quien fue falsificada tal dirección

22 Escaneos UDP Problema Simple, protocolo no orientado a conexión: sin banderas, opciones o retransmisión No se requiere que la aplicación conteste Solución: técnica de escaneo inverso Envío de un paquete UDP Si el puerto esta cerrado, el equipo responderá con un mensaje ICMP Port Unreachable Si el puerto esta abierto, el servicio podría responder (tal vez con otro paquete UDP) Resultado inverso: Si no hay un ICMP Port Unreachable, el puerto esta abierto Poco confiable, varios tipos de falsos positivos Paquetes UDP o ICMP perdidos o filtrados Equipo con un limite de ICMPs, la respuesta no se generará siempre

23 Información de versión Escaneos de puertos sólo indican si un servicio se esta ejecutando No si este es vulnerable a un ataque Pero conociendo la versión del servicio puede ser suficiente Verificar en el sitio del desarrollador si dicha versión es vulnerable Tres formas (entre varias) de hacer esto: Captura de banners Consulta directas a aplicaciones Información de DNS Diferentes métodos para diferentes servicios

24 Captura de banners Varios servicios muestran su versión cuando nos conectamos > ftp bluebird 220 bluebird FTP server (Version 6.5/OpenBSD, linux port 0.3.2) ready. Solo esto es necesario >telnet mailhub mailhub ESMTP Server (Microsoft Exchange Internet Mail Service ) ready

25 Captura de banners (cont.) Ejemplo 3: Telnet No proporciona una versión del servicio Pero proporciona versión del SO, y tipo de procesador > telnet bluebird Trying Connected to bluebird. Escape character is '^]'. Welcome to SuSE Linux 7.1 (i386) - Kernel (2)

26 Consultas de versión Si la versión no está en un banner, generalmente puede ser consultada Ejemplo 1: Llamadas a procedimientos remotos (RPC) de SUN rpcinfo p <sistema> proporciona versión y números de puerto Puede ser consultada directamente con una llamada a procedimiento nulo program vers proto port service tcp 111 rpcbind udp 111 rpcbind udp 4045 nlockmgr tcp metad tcp metamhd udp status tcp status

27 Consultas de versión Ejemplo 2: Consulta de versión del servidor de nombres nslookup type=txt class=chaos version.bind some.host.de Server: some.host.de Address: version.bind text = REL

28 Consultas de versión (NetBIOS) La tabla de nombres proporciona equipos, dominios, usuarios, servicios nbtstat A Machine1 <20> UNIQUE Registered [server svc] Machine1 <00> UNIQUE Registered [workstation svc] DOMAIN <00> GROUP Registered DOMAIN <1C> GROUP Registered [domain controller] DOMAIN <1B> UNIQUE Registered [PDC] DOMAIN <1E> GROUP Registered Machine1 <03> UNIQUE Registered [messenger svc] INet~Services <1C> GROUP Registered IS~Machine1 <00> UNIQUE Registered [?web service?] DOMAIN <1D> UNIQUE Registered [domain browse master] USER1 <03> UNIQUE Registered [logged in user] -- MSBROWSE <01> GROUP Registered [subnet master browser]

29 Consultas a DNS El Servicio de Nombres de Dominio almacena una cantidad enorme de información Mapeo completo de nombre de equipo a dirección IP Puede ser obtenida mediante transferencias de zona (Si no esta deshabilitada) Nslookup > ls <zone_fqdn> Los registros HINFO, WKS y SRV almacenan equipo y tipo de OS, así como servicios conocidos, (mail, http, etc) Pueden ser obtenidos mediante nslookup type=wks <fqdn> <server> nslookup type=hinfo <fqdn>

30 Ejercicio 1: Recolección de información

31 Como suceden las intrusiones El atacante explota una vulnerabilidad presente en el sistema Las vulnerabilidades caen en tres categorías: Mala configuración Diseño débil en protocolos Errores de programación; dos muy comunes: Buffer overflows Bugs en Formatos de cadenas de caracteres

32 Mala configuración El administrador del sistema o el usuario han cometido un error en la configuración del sistema Errores típicos Compartir archivos con permisos RW para todos Proxies sin uso restringido (mail, web, socks, ) Cuentas de usuarios sin contraseñas o con contraseñas conocidas Base de datos de contraseñas leíble por todos El atacante puede adivinar las contraseñas fuera de línea mediante fuerza bruta o ataques de diccionario Contenido activo habilitado en navegador o cliente de correo Puede ser ejecutado automáticamente cuando se muestre un mensaje

33 Diseño débil Fallas importantes en el diseño de protocolos o software No puede ser resuelto sin afectar versiones anteriores Manteniendo el bug se conserva la compatibilidad hacia atrás Casos típicos Autentificación en texto claro en protocolos (telnet, ftp) Las credenciales pueden ser sniffeadas por un intruso Dependencia de dirección IP para la autenticación El atacante puede falsificar direcciones IP

34 Errores de programación Error común Hacer suposiciones sobre el ambiente del programa P.e. Las cadenas de caracteres de entrada serán cortas y en ASCII imprimible Pero usuarios maliciosos pueden introducir lo que ellos deseen La entrada puede venir desde Variables de ambiente Entrada del programa (local o en red) Otras fuentes

35 Buffer overflows Error: Asumir que un buffer de tamaño fijo es lo suficientemente grande como para almacenar toda la entrada El lenguaje C no tiene incorporado verificaciones de limite de buffer Pregunta Qué tal si hay mas datos que espacio en el buffer? Respuesta Los datos extra son escritos en memoria, después del buffer Ejemplo: Stack smashing

36 Stack smashing Qué esta después de un buffer de entrada? Capas generales de la pila

37 Stack smashing (cont.) Mientras el atacante escribe mas allá del buffer, sobrescribe variables locales y argumentos con su propio código La dirección de regreso es sobrescrita con la dirección proporcionada por el atacante que apunta al código en el buffer

38 Stack smashing (cont.) Al regresar del procedimiento, el código del atacante es ejecutado Típicamente se genera un interprete de comandos que proporciona una línea de comandos Posibles complicaciones El atacante debe de conocer la dirección de su código Rutinas de copia de cadenas, terminan con byte nulo (fin de cadena)

39 Condiciones para un buffer overflow Condiciones que deben cumplirse para la generación de un buffer overflow No se realiza la verificación de limites El espacio adyacente al buffer debe de poder ser escrito El atacante puede llenar el buffer con su propio contenido Una dirección del código debe de estar adyacente al buffer No todos los buffer son vulnerables La mayoría de los sistemas operativos son vulnerables

40 P.e. Demonio IMAP de Linux Intento sin éxito Apr 1803:05:13 imapd[3344]: Crack attempt,host=badhost.com Apr 18 03:05:16 imapd[3344]: Login failure user=^p^p^p^p^p^p^p^p^p^p^p^p^p^p^p^p^p ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P host=badhost.com Apr 18 03:05:18 imapd[3344]: Connection broken while reading line user=^p^p^p^p^p^p^p^p^p^p ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P host=badhost.com

41 P.e. Demonio IMAP Linux (cont.) Intento exitoso May 11 16:09:31 goodhost imapd[271]: connect from May 11 16:09:42 goodhost imapd[271]: command stream end of file, while reading line user=??? host=attack.net May 11 16:40:36 goodhost imapd[271]: connect from May 11 16:42:08 goodhost in.telnetd[603]: connect from May 11 16:42:24 goodhost PAM_pwdb[606]: (login) session opened for user codeking by (uid=0) May 11 16:42:24 goodhost login[606]: LOGIN ON ttyp0 BY codeking May 11 17:16:36 goodhost in.telnetd[917]: connect from FROM badhost.com May 11 17:17:11 goodhost PAM_pwdb[942]: (su) session opened for user rewt by codeking (uid=0)

42 P.e. Demonio IMAP Linux (resultados) Nuevos usuarios en /etc/passwd moeller:*:500:500:/home/moeller:/bin/bash janitz:*:501:501:/home/janitz:/bin/bash codeking::0:0:/tmp:/bin/bash rewt::0:0:/tmp:/bin/bash /etc/hosts.deny eliminado Nueva entrada en /etc/hosts.allow all:all

43 P.e. Bug en Windows RPC DCOM Gusano Blaster (Agosto del 2003) Paquete al puerto 135 provoca un buffer overflow Produce un shell como puerta trasera en el puerto 4444 Obtiene su propio ejecutable mediante TFTP Escanea e infecta a otros equipos Instala llave en el registro para recarga al reiniciar el equipo Podía atacar el sitio web de windowsupdate

44 Ataque de formato de cadena No hay problema si el formato de cadena se especifica en el código P.e. printf( %s = %d\n, variable, value); Problema si el formato de cadena puede ser especificado por el intruso P.e. printf(error); Qué tal si el error = <código malicioso>%x %x.. %n..%n..%n..%n? Varias funciones utilizan formatos de cadena, p.e. printf, fprintf, sprintf, snprintf, vprintf, syslog, setproctitle, Error común: syslog(mensaje) donde el mensaje viene de la entrada del usuario

45 Como funciona Los mismos pasos que los buffer overflow Poner código en la pila (binario hostil) Moverse a través de la pila (%x muestra variables, o la pila) Sobrescribir la dirección de retorno (%n establece una variable, o byte en la pila) Como funciona el ataque El atacante utiliza varios %x para moverse a la dirección de retorno Entonces el atacante sobrescribe la dirección de retorno con %n Escribe n1 bytes seguidos por %n para escribir el byte 1 de la nueva dirección de retorno El resto del buffer es llenado con el código del atacante En el regreso, la ejecución salta al código del atacante Puede sobrescribir otras direcciones, p.e. process user id

46 Ejercicio 2: Irrupción al sistema

47 Ocultando y atrincherando Después de una intrusión exitosa, el atacante intenta ocultar el rastro de la intrusión y de la demás actividad generada Eliminando entradas sospechosas De bitácoras De las bases de datos de accounting Esconder archivos, procesos y conexiones de red Instalando puertas traseras

48 Ocultando el rastro - Unix Unix almacena las bitácoras sobre /var/adm o /var/log Mensajes sospechosos son aquellos que muestran Direcciones de donde el ataque pudo originarse Inicios de sesión de usuarios creados por el ataque Las bitácoras pueden ser editadas o borradas Usualmente involucra el reinicio de los procesos de syslog La fecha de inicio de las bitácoras de syslogd podrían ser sospechosas Datos de cuentas: quien inicio sesión, desde donde, por cuanto tiempo Archivos: utmp, wtmp, utmpx, wtmpx, lastlog Los registros puedes ser sobrescritos por los atacantes

49 Ocultando el rastro - Windows El Windows event log es más difícil de alterar Buscar huecos de tiempo o inicio/detención del event logger El event logger debería de iniciarse/detenerse al inicio/ cierre del sistema El llenado de la bitácora sobrescribirá eventos anteriores El intruso podría intentar crear eventos 'inofensivos' para ocultar su rastro Asegurarse de que la bitácora es lo suficientemente grande como para hacer esto impráctico Asegurarse que los eventos interesantes sean

50 Otros rastros Los atacantes a menudo olvidan algunos lugares sulog: quien cambio su userid, cuando y para que shell history: comandos ejecutados, sin timestamp Inicios de sesión fallidos: faillog, loginlog, syslog Si te preparas antes del incidente Auditoria de Procesos y pistas de auditoría(muchos datos, difícil de usar) IDS snort, argus, etc. También ejecuta tripwire u otro verificador de FS en sistemas críticos Necesidad de conocer como luce de manera normal el sistema Herramientas forenses podrían obtener información adicional

51 Escondiendo archivos y procesos (tradicional) Intrusos esconden archivos en lugares no usuales Nombre de directorio iniciando con. o llamado Nombres de archivo similares a archivos en directorio, p.e. /dev/ptx1, /usr/lib/libdll, winlogin.exe (winlogon.exe es genuino), Flujos de datos alternos en Windows file:hidden o /dir:hidden Procesos tienen nombres de ejecutables estandar vi, mail, httpd, winlogon Pero sus rutas y parámetros los delatan Encontrarlos es fácil cuando se sabe donde buscar ls al para encontrar archivos, ps para encontrar procesos, last para encontrar inicios de sesión FoundStone, Sysinternals y SystemTools para el forense en Windows

52 Escondiendo archivos y procesos (moderno) Atacantes reemplazan utilerías del sistema Herramientas que podrían mostrar sus archivos, procesos o actividad p.e. ps, pstree, kill, killall, killpid, top, ls, find, du, echo, grep Cadenas para omitir compilación, o en archivos separados Investigadores deben usar herramientas confiables (p.e. en un CD) Los desarrolladores publican las firmas de los binarios genuinos Últimamente: Los atacantes reemplazan componentes del SO Rutinas del sistema que listan archivos, procesos, etc El SO mentirá a cualquier programa aun binarios confiables Los rootkits de kernel existen en Windows y en Unix El investigador debe de transferir el disco a un equipo confiable

53 Escondiendo conexiones de red La actividad en la red, podría ser la única señal visible de una intrusión Los atacantes también reemplazan estas herramientas Programas que muestran o almacenan la actividad de la red p.e. netstat, ifconfig, tcpd, inetd Los reemplazos omiten ciertas direcciones IP o nombres de equipo El investigador debe monitorear la red por si mismo (argus, netflow, etc.) Los atacantes utilizan criptografía para evitar el sniffing Frecuentemente secure shell es instalado en un puerto diferente O utilizan SSL si el servidor web es el punto de entrada

54 Puertas traseras (obvias) El intruso desea regresar al equipo comprometido Solución: un shell escuchando por un puerto TCP Entrada en la configuración de inetd, lanza un shell de root 2222 stream tcp nowait root /bin/sh i El gusano blaster ejecuta una línea de comandos en el puerto 4444 Desventajas Cualquiera puede utilizar la puerta trasera, (solo hay que buscarla) Algunas requieren contraseña Una puerta trasera en un puerto inusual es fácil de encontrar

55 Puertas traseras (Sutil) Mejor solución: reemplazar un servicio de red existente P.e. sshd, telnetd, rshd Llamar al servicio original a menos que una condición especial sea encontrada P.e. inicio de sesión de root, si la variable DISPLAY esta establecida a jabberwocky Puerta trasera esta oculta de usuarios y scanners Aparentemente un servicio normal en un puerto normal Los inicios de sesión normales trabajan normalmente, no hay sospecha O reemplazar el programa de login mismo Por tanto se puede utilizar un telnet normal, ssh, y servicios rlogin

56 Herramientas de acceso remoto Programas diseñados para la administración/control remota La mayoría para Windows p.e. Sub-7, Netbus, BackOrifice, Dameware,... Interfaces gráficas permiten un control remoto fácil Los caballos de troya generalmente instalan uno de estos Puertos conocidos, pero estos se pueden cambiar Muchos escaneos en busca de sistemas ejecutándolos Por qué irrumpir si alguien más lo ha hecho por mi?

57 Ejercicio 3: Ocultamiento

58 Abusos Qué hacer con sistemas comprometidos? Nuevos escaneos e intrusiones Uso de los recursos del sistema Como deposito de software propio (almacenamiento) Para cracking de cifrado (computo) Distribuir copias ilegales de software, música, videos, imágenes, etc (Warez) Utilizar el sistema para denegar a las victimas de servicios esenciales (DoS) Ataques a la infraestructura

59 Denegación de servicio Objetivo: Denegar el acceso a o el uso de recursos por la victima Explotar debilidades para hacer el servicio indisponible P.e. Ping of death Paquetes ICMP grandes causan la caída del sistema El ataque se vuelve inefectivo una vez que el parche esta disponible O agotar los recursos en el objetivo con peticiones En principio, no se puede definir cual es una petición genuina Usualmente se falsifica la dirección origen para dificultar el rastreo Inundación simple, si el atacante tiene más recursos que la victima. O agotar un limite (bajo) oculto, p.e. TCP SYN flood

60 Inundación TCP SYN El servidor TCP debe almacenar el estado de todas las conexiones El atacante envía un paquete SYN, pero no finaliza el handshake La conexión se deja semi-abierta; estado SYN RECEIVED El protocolo TCP menciona que este es un estado de poca vida Varias implantaciones sólo permiten un número limitado (p.e. 1024) a la vez. Cuando estas se han alcanzado, no se aceptan más conexiones Una conexión semi-abierta tomará varios minutos en expirar El atacante solo necesita enviar 1024 paquetes de 40 bytes La victima no puede aceptar conexiones TCP La victima puede utilizar el 100% de los recursos de CPU en procesos de red.

61 Inundación simple Llenar la conexión de red de la victima con muchos paquetes grandes A menudo se utilizan paquetes UDP o ICMP echo reply (ping) Fácil de generar y probablemente no están bloqueados por el firewall Ataque limitado por el enlace más lento entre la victima y el atacante El ataque consume el ancho de banda de la victima La red se vuelve lenta o no responde Caso especial Paquete UDP falsificado de victima:chargen a victima:echo Solamente un pequeño paquete es necesario para lanzar el ataque

62 Ataques distribuidos Ataque al objetivo desde varios sistemas a la vez Sin limitación del ancho de banda de un solo enlace SMURF Inundación de ping distribuida Envía un ICMP echo request a una dirección de broadcast Peor de los casos: todos los equipos en la red responden La dirección de origen falsificada para ser la de la victima Una configuración adecuada del router debería prevenir esto No reenviar hacia direcciones de broadcast (default de algunos routers) Aún hay redes amplificadoras de Smurf por ahí Denegación de Servicio Distribuido DDoS

63 Denegación de Servicio Distribuido El atacante instala agentes en varios sistemas comprometidos Por una intrusión manual, gusano, correo o virus de IRC Después,indica a todos los agentes que ataquen a la misma victima Atacan mediante inundaciones simples: TCP SYN, UDP/PING, SMURF o atacan aplicaciones, p.e. DNS, SMTP, HTTP Se han visto redes de >1k sistemas, que envían >1Gbps Un sistema de tres capas: atacante, manejadores, agentes (ver la siguiente figura) Los manejadores envían los comandos del atacante a los agentes Protocolos personalizados basados en TCP, UDP, ICMP, podrían ser cifrados Los manejadores están también en maquinas comprometidas Muy difícil de rastrear al atacante desde la víctima

64 DDoS (cont.)

65 Rastreando ataques DDoS Desde la victima a los agentes muy difícil Dirección de origen falsificada significa una pista incompleta Necesidad de que ISP rastree el flujo Administrador local podrá escanear puertos abiertos en los agentes Desde el agente localizar al manejador Binario en el agente podría contener la dirección del manejador Podría ser posible observar trafico entre el manejador y el agente Desde el manejador mejor oportunidad Manejadores frecuentemente descubiertos después de la limpieza de la intrusión El manejador tiene una lista de las direcciones de los agentes Frecuentemente cifrada, pero los script kiddies utilizan la llave predeterminada Podría ser posible ver el flujo del trafico atacante/manejador/agente

66 Nuevas herramientas DDoS basadas en IRC Utilizan IRC como canal de comunicación atacante/agente Servidores IRC funcionan como manejadores; no se necesita desarrollarlos El protocolo IRC reemplaza la comunicación con el protocolo predeterminado Actualmente existen grandes redes de bots de IRC Agentes comprometidos entran a canales IRC y esperan instrucciones No hay un puerto abierto que pueda ser escaneado en el agente Conexión a IRCs podría ser normal No hay sospechas, y no son filtradas El atacante envía el comando al canal

67 Ataques de infraestructura Existe en teoría, empieza a aparecer en practica DNS hacer que un nombre resuelva a otra cosa Servidor DNS autoritativo comprometido Envenenamiento poisoning del DNS local Pharming O simplemente falsificar la petición al administrador de nombres Protocolos de ruteo redirección de flujo del trafico Mensajes de ruteo son raramente autentificados Router comprometido puede mentir sobre las direcciones detrás de él

68 Ejercicio 4: Negación de servicio

Internet Firewalls Linux ipchains.

Internet Firewalls Linux ipchains. Internet Firewalls Linux ipchains. I Parte. Firewalls Introducción. Actualmente, Internet es la principal vía para consultar y publicar información de una forma sencilla, económica y revolucionaria. Del

Más detalles

Denegación de Servicio (DoS)

Denegación de Servicio (DoS) ASI - DoS,1 Denegación de Servicio (DoS) Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es Alberto

Más detalles

NMap TÉCNICAS DESCUBRIMIENTO DE EQUIPOS. LIST SCAN (-sl)

NMap TÉCNICAS DESCUBRIMIENTO DE EQUIPOS. LIST SCAN (-sl) NMap NMap es una herramienta que permite el mapeo de redes. Es un programa que viene para varios sistemas operativos y que trae funcionalidades para el descubrimiento de equipos de una red, escaneo de

Más detalles

Es Internet un lugar seguro para vivir?

Es Internet un lugar seguro para vivir? Seguridad file:///home/jpiquer/jpiquer/charlas/seguridad4/charla.html Es Internet un lugar seguro para vivir? José M. Piquer DCC - U. de Chile 1 of 1 06/08/2007 04:43 PM Internet Comercial (8) file:///home/jpiquer/jpiquer/charlas/seguridad4/1.html

Más detalles

ATAQUES DDOS. La seguridad de Internet en Jaque

ATAQUES DDOS. La seguridad de Internet en Jaque ATAQUES DDOS La seguridad de Internet en Jaque Índice Introducción Ataques DOS Ataques DOS Distribuidos Herramientas DDOS Soluciones Historia ATAQUES DDOS Introducción Internet se ha convertido en la última

Más detalles

TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP. Técnico en Seguridad de Redes y Sistemas 2011, Juan Pablo Quesada Nieves

TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP. Técnico en Seguridad de Redes y Sistemas 2011, Juan Pablo Quesada Nieves TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP 2011, Juan Pablo Quesada Nieves TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP Tipos de Ataques en TCP/IP Técnicas para la Búsqueda de Objetivos de un

Más detalles

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com 3-SCANNING NETWORK MAPPING. El proceso de Network Mapping, consiste en tratar de identificar la arquitectura (Topología) de la red a la cual vamos a realizarle las pruebas de seguridad y auditoria a nivel

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Técnicas de Hacking y Seguridad Luis Yagüe EFOR Temario Comparación de Sistemas Operativos desde el punto de vista de la Seguridad Informática Firewalls, Proxys, DMZs. Virus Informáticos

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Apéndice C Secure Shell

Apéndice C Secure Shell Apéndice C Secure Shell "Los ejemplos son diez veces más útiles que los preceptos." Charles James Fox Manual de uso e instalación. 134 Apéndice C. Secure Shell. Secure Shell (SSH), desarrollado por Tatu

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

La herramienta nmap. Nmap. Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez. La herramienta nmap. Dr.

La herramienta nmap. Nmap. Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez. La herramienta nmap. Dr. Cárdenas Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez Lámina 1 Nmap Lámina 2 1 Cárdenas Matrix y nmap Lámina 3 Características Nmap NMAP Network Security Scanner Herramienta

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

ATAQUES DE MONITORIZACION Seguridad Informática

ATAQUES DE MONITORIZACION Seguridad Informática ATAQUES DE MONITORIZACION Seguridad Informática por Alberto Medina Mazuelos Profesor Rodrigo Tapia Santis Tecnologías de la Información y Comunicación Ingeniería en Informática Universidad Tecnológica

Más detalles

Seguridad en Sistemas Informáticos Intrusión 3: ataques a la red

Seguridad en Sistemas Informáticos Intrusión 3: ataques a la red Seguridad en Sistemas Informáticos Intrusión 3: ataques a la red Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra.es/ En clases anteriores... Búsqueda e Identificación

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas Laboratorio de Seguridad en aplicaciones web Practica 2: Configuración de VPN y escaneo de puertos. Objetivos: En esta práctica

Más detalles

Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux

Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Cuando uno contrata

Más detalles

Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet

Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico de Telecomunicación Especialidad en Sonido e Imagen 3º curso Temario 1.-

Más detalles

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo Hacking Ético Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo Objetivos Detectar sistemas vivos en la red. Descubrir servicios que se están ejecutando o que están escuchando en

Más detalles

INFORME EJECUTIVO ANÁLISIS FORENSE. Hostname: finanzas S.O.: Red Hat Linux versión 7.3 (Valhalla) Autor: Rafael García O.

INFORME EJECUTIVO ANÁLISIS FORENSE. Hostname: finanzas S.O.: Red Hat Linux versión 7.3 (Valhalla) Autor: Rafael García O. INFORME EJECUTIVO ANÁLISIS FORENSE Hostname: finanzas S.O.: Red Hat Linux versión 7.3 (Valhalla) Autor: Rafael García O. INTRODUCCIÓN La máquina finanzas, un servidor con S.O. Red Hat Linux versión 7.3

Más detalles

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto LABORATORIO DE FTP PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez PRESENTADO A: Marcelo Utard Javier Bozzuto ESCUELA DE GRADUADOS DE ELECTRÓNICA Y TELECOMUNICACIONES LABORATORIO DE

Más detalles

Seguridad de Aplicaciones-1

Seguridad de Aplicaciones-1 Seguridad de Aplicaciones Veamos una clase de técnicas dirigidas a los protocolos de aplicación que corren encima de TCP/IP: Ataques de sondeo: Finger: Puede revelar información interesante sobre un usuario

Más detalles

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109 I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : Sexto Requisitos Duración Horas Semana : 08 horas Versión : v.0109 II. SUMILLA: : COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones

Más detalles

Recuperación ante ataques

Recuperación ante ataques 1 INTRODUCCIÓN ÍNDICE GENERAL Recuperación ante ataques IRIS-CERT 14 de Noviembre de 2000 Resumen Otro documento, mezcla de varios para contar con toda la información en conjunto sobre

Más detalles

LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET

LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET Desde hace ya varios años, el Instituto SANS (System Administration Networking and Security Institute) y el FBI han venido publicando una lista con las

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A. Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Qué

Más detalles

Conceptos Fundamentales sobre UNIX Laboratorio 16.2.6 Comandos de Networking (Tiempo estimado: 45 min.)

Conceptos Fundamentales sobre UNIX Laboratorio 16.2.6 Comandos de Networking (Tiempo estimado: 45 min.) Conceptos Fundamentales sobre UNIX Laboratorio 16.2.6 Comandos de Networking (Tiempo estimado: 45 min.) Objetivos: Desarrollar una comprensión de los comandos de networking de UNIX y TCP/IP Hacer ping

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

INSTITUTO TECNOLÓGICO DE LAS AMÉRICA ITLA

INSTITUTO TECNOLÓGICO DE LAS AMÉRICA ITLA INSTITUTO TECNOLÓGICO DE LAS AMÉRICA ITLA How to de como habilitar el servicio de SSH en slackware. Carlos Juan Shephard G 2013-610 Sistema Operativo III Instructor: José Doñe OpenSSH es una versión LIBRE

Más detalles

Escuela de Ingeniería Electrónica CAPITULO 10 LINUX

Escuela de Ingeniería Electrónica CAPITULO 10 LINUX CAPITULO 10 LINUX AGENDA Administración de la interfase del usuario. Cuentas para usuarios y grupos Administración de servicios y archivos del sistema Daemons (demonios) 2 Instalación de Linux La instalación

Más detalles

Cómo violan la seguridad de su computadora los atacantes informáticos

Cómo violan la seguridad de su computadora los atacantes informáticos James Michael Stewart Instructor en Global Knowledge es autor de varios libros sobre seguridad, certificaciones y asuntos de administración. Cómo violan la seguridad de su computadora los atacantes informáticos

Más detalles

Ataques de Denegación de Servicio Seguridad en Internet

Ataques de Denegación de Servicio Seguridad en Internet Ataques de Denegación de Servicio 1 Definición Un ataque de denegación de servicio (Denial of Service) se caracteriza por intentar evitar el uso legítimo de un bien, servicio o recurso. DDoS (Distributed

Más detalles

CAPITULO 4 DISEÑO DEL IDS

CAPITULO 4 DISEÑO DEL IDS CAPITULO 4 DISEÑO DEL IDS En este capítulo se describe el diseño del IDS presentado para este trabajo de Tesis. Se explican las consideraciones que se tomaron para realizar el diseño del mismo sistema

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

Servicios clásicos de Internet

Servicios clásicos de Internet Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra daniel.morato@unavarra.es Laboratorio de Interfaces de Redes http://www.tlm.unavarra.es/asignaturas/lir

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

Flooding. Román Castro Coedo roman.ccoedo

Flooding. Román Castro Coedo roman.ccoedo Flooding Román Castro Coedo roman.ccoedo Índice de contenido Introducción...3 Tipos de ataques...3 HTTP Flood...3 SYN Flood...3 SSL Flood y Renegociación SSL...3 UDP Flood...3 Herramientas...4 L.O.I.C...4

Más detalles

Lab 04. Herramientas de Seguridad. Área de Telemática. Seguridad de la información Universidad de Antioquia

Lab 04. Herramientas de Seguridad. Área de Telemática. Seguridad de la información Universidad de Antioquia Lab 04 Herramientas de Seguridad Área de Telemática Seguridad de la información Universidad de Antioquia Actividad 01: Manejo de Netcat Netcat, tmabién denominado NC, es una aplicación conocida como la

Más detalles

Evolución de las políticas de seguridad en redes académicas universitarias

Evolución de las políticas de seguridad en redes académicas universitarias Evolución de las políticas de seguridad en redes académicas universitarias Alfredo Miguel Montes 9/10/01 Instituto Universitario Aeronáutico 1 Introducción! Las universidades, particularmente las nacionales,

Más detalles

CAPITULO 14 SEGURIDAD EN LA RED

CAPITULO 14 SEGURIDAD EN LA RED CAPITULO 14 SEGURIDAD EN LA RED Seguridad en la red La palabra seguridad de acuerdo con el Diccionario American Heritage es sinónimo de garantía y garantizar. Según el diccionario de la Real Academia seguridad

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes

Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes FANAL Fábrica Nacional de Licores Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes Elaborado por: Fecha de Creación: Lic. Gilberto Arroyo Morera Enero-2010. Fecha Versión

Más detalles

La Capa de Aplicación Protocolos de Aplicación Básicos

La Capa de Aplicación Protocolos de Aplicación Básicos La Capa de Aplicación Protocolos de Aplicación Básicos mayo de 2008 DNS DNS (RFC 1034 y 1035) Idea básica: Cada nodo tiene un nombre único asignado a una dirección IP. El Sistema de Nombres de Dominio

Más detalles

Registros del sistema

Registros del sistema Registros del sistema Seguridad en los Sistemas Informáticos Ismael Ripoll Universidad Politècnica de València Abril 2011 Ismael Ripoll (Universidad Politècnica de València) Registros del sistema Abril

Más detalles

I Comprometiendo un sistema 17

I Comprometiendo un sistema 17 Índice general Índice general 3 1. Antes de comenzar... 13 1.1. Introducción....................................... 13 1.2. Estado actual del tema................................. 14 1.3. Objetivos y Requisitos.................................

Más detalles

CAPITULO 4 TCP/IP NETWORKING

CAPITULO 4 TCP/IP NETWORKING CAPITULO 4 TCP/IP NETWORKING Algo sobre LINUX http://www.diarioti.com/gate/n.php?id=9470 2 AGENDA 4.1 Historia del protocolo TCP/IP 4.2 Direccionamiento IP 4.3 Nombre de resolución 4.4 Protocolos TCP/IP

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Seguridad GNU/Linux. Capítulo de Estudiantes de ACM de la URJC Álvaro Navarro Clemente Jaime Pérez Crespo. anavarro,japecre@gsyc.escet.urjc.

Seguridad GNU/Linux. Capítulo de Estudiantes de ACM de la URJC Álvaro Navarro Clemente Jaime Pérez Crespo. anavarro,japecre@gsyc.escet.urjc. Capítulo de Estudiantes de ACM de la URJC Álvaro Navarro Clemente Jaime Pérez Crespo anavarro,japecre@gsyc.escet.urjc.es 12 de noviembre de 2003 Índice 1 Índice Introducción Autenticación de Usuarios Servicios

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

El MODEM es el gestor de la conexión a Internet, el medio para repartir Internet a las terminales es por medio del ROUTER.

El MODEM es el gestor de la conexión a Internet, el medio para repartir Internet a las terminales es por medio del ROUTER. En el siguiente informe intentaré explicarles que es y como funciona un sniffer, pero para poder comprenderlo tenemos que tener idea de cómo esta diagramada una red con sus componentes básicos como ser

Más detalles

Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología

Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología Este documento es información pública de Cisco. Página 1 de 10 Tabla de direccionamiento Dispositivo

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio 1nsloo.cl REDES DE COMPUTADORES Laboratorio Práctica 1: Emulación de redes con NetGUI. 1. OBJETIVOS. El objetivo de esta práctica es aprender a utilizar la herramienta de emulación de redes Netkit / NetGUI,

Más detalles

Curso de Seguridad Tipos de ataques de denegación de servicio.

Curso de Seguridad Tipos de ataques de denegación de servicio. Curso de Seguridad Tipos de ataques de denegación de servicio. Alberto Escudero Pascual aep@it46.se 1 Denegación de Servicio Definición: denegación de servicio es una ataque caracterizado por un intento

Más detalles

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Admon de Redes de Pc: Cristian Mutis Caez Contenido de la charla Parte I Fundamentos de IDS Conceptos fundamentales de

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

División de Seguridad Informática Configuración de TCP-Wrapper

División de Seguridad Informática Configuración de TCP-Wrapper División de Seguridad Informática Configuración de TCP-Wrapper 1.- Introducción. Linux, igual que cualquier sistema operativo, debe ser configurado para que sea seguro antes de conectarlo a una red, especialmente

Más detalles

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Seguridad Web Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Lista de contenidos Seguridad de los datos Autenticación Integridad Malware Spam Denegación de servicio

Más detalles

Telnet. Telnet Operación

Telnet. Telnet Operación Telnet Protocolo utilizado para la ejecución de procesos en sistemas remotos. Emulación de Terminal Utiliza las funcionalidades de TCP Well Known Service, port number 23 Telnet Operación NVT (Network Virtual

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES

ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES ATAQUES DoS (Denegacion de Servicio) Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue

Más detalles

Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino

Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino Redes de Computadores I Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino Introducción Redes de Computadores I Es trabajo tiene el fin de entregar la información

Más detalles

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH Software de Comunicaciones Práctica 7 - Secure Shell. SSH Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas Barber Práctica 7 Índice

Más detalles

Servidor de Protocolo de Transferencia de

Servidor de Protocolo de Transferencia de Servidor de Protocolo de Transferencia de Archivos (FTP) Etiquetas: ftp «Volver a Administración de... Imprimir Table of Contents [-] 1 Acerca del Protocolo FTP 2 Funcionamiento del Protocolo FTP 3 Modos

Más detalles

PRACTICA 6.1 Wireshark, NMAP Caín & Abel Caín & Abel

PRACTICA 6.1 Wireshark, NMAP Caín & Abel Caín & Abel PRACTICA 6.1 La monitorización del tráfico de red es un aspecto fundamental para analizar qué está sucediendo en la misma, y poder tomar precauciones y medidas de seguridad en la misma. Herramientas como

Más detalles

Administración de servicios Internet Intranet

Administración de servicios Internet Intranet Administración de servicios Internet Intranet Tema 1: TCP/IP E.U.I.T. Informática Gijón Curso 2003/2004 ASII 1 Descripción general Internet y TCP/IP Arquitectura. Direcciones IP Subredes Configuración

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

PROGRAMA DE CURSO DE FORMACIÓN PROFESIONAL OCUPACIONAL

PROGRAMA DE CURSO DE FORMACIÓN PROFESIONAL OCUPACIONAL MINISTERIO DE TRABAJO Y ASUNTOS SOCIALES PROGRAMA DE CURSO DE FORMACIÓN PROFESIONAL OCUPACIONAL Técnico en Seguridad de Redes y Sistemas DATOS GENERALES DEL CURSO 1. Familia Profesional: INFORMÁTICA Área

Más detalles

Política de Seguridad

Política de Seguridad Firewalls y Seguridad en Internet Sin tener en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

1.264 Tema 18. Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software

1.264 Tema 18. Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software 1.264 Tema 18 Seguridad Web: Certificados, autoridades IPsec, PKI Ataques, iniciativas Seguridad del software Claves públicas y autoridades que expiden certificados Cómo obtener claves públicas: No puede

Más detalles

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 11 Capa6 Modelo OSI. PRÁCTICA 11 SSH: Secure Shell

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 11 Capa6 Modelo OSI. PRÁCTICA 11 SSH: Secure Shell 1.- Objetivos de Aprendizaje El alumno: UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO PRÁCTICA 11 SSH: Secure Shell Al finalizar la práctica, conocerá la importancia de utilizar el protocolo SSH (Secure Shell)

Más detalles

Seguridad y Auditoría Informática. Alberto García Illera agarcia@informatica64.com

Seguridad y Auditoría Informática. Alberto García Illera agarcia@informatica64.com Seguridad y Auditoría Informática Alberto García Illera agarcia@informatica64.com VULNERABILIDADES El termino vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar

Más detalles

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas Servidor Firewall Patrick Hernández Cuamatzi Qué es un firewall? Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls

Más detalles

Comandos MS-DOS PING (Packet Internet Grouper). Ping -t: Ping -a: Ping -l:

Comandos MS-DOS PING (Packet Internet Grouper). Ping -t: Ping -a: Ping -l: Comandos MS-DOS PING (Packet Internet Grouper). Se trata de una utilidad que comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta

Más detalles

Hacking ético. Módulo III Hacking del sistema (2ª parte)

Hacking ético. Módulo III Hacking del sistema (2ª parte) Hacking ético Módulo III Hacking del sistema (2ª parte) Objectivo del módulo Esto es lo que veremos en este módulo: Adivinación de contraseñas remotas Craqueo de contraseñas (cont) Keyloggers Escalada

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

PROGRAMA WRSK00: USO DE WIRESHARK EN EL ANÁLISIS DE SEGURIDAD Y PERFORMANCE DE REDES TCP/IP (WRSKTOOL)

PROGRAMA WRSK00: USO DE WIRESHARK EN EL ANÁLISIS DE SEGURIDAD Y PERFORMANCE DE REDES TCP/IP (WRSKTOOL) PROGRAMA WRSK00: USO DE WIRESHARK EN EL ANÁLISIS DE SEGURIDAD Y PERFORMANCE DE REDES TCP/IP (WRSKTOOL) OBJETIVOS: El programa propone el uso de la herramienta Wireshark 1 para lograr los siguientes objetivos:

Más detalles

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/05/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD 1. Instrucciones Generales de Presentación de Propuestas, Sección

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

Capítulo 8 Seguridad en Redes WEP, FW, IDS. Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.

Capítulo 8 Seguridad en Redes WEP, FW, IDS. Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross. Capítulo 8 Seguridad en Redes WEP, FW, IDS Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross. Capítulo 8 contenidos 8.1 Qué es la seguridad en la red? 8.2 Principios de criptografía

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

GLOSARIO DE TERMINOS USADOS EN SEGURIDAD INFORMATICA

GLOSARIO DE TERMINOS USADOS EN SEGURIDAD INFORMATICA 1 de 7 21/04/2008 12:13 p.m. GLOSARIO DE TERMINOS USADOS EN SEGURIDAD INFORMATICA Active-X A B D E I K M N O P R S T V U W A Como la mayor parte de sitios web son documentos estáticos con poca interactividad,

Más detalles

CAPA DE APLICACIONES

CAPA DE APLICACIONES CAPA DE APLICACIONES En esta capa se implementan protocolos que ayudan al intercambio de información entre usuarios Protocolos utilizados El sistema de nombres de dominio (DNS) Transferencia de Hipertexto

Más detalles

BotNet. Grupo de cordinación de Seguridad, IRIS-CERT 26 de Octubre de 2004

BotNet. Grupo de cordinación de Seguridad, IRIS-CERT 26 de Octubre de 2004 BotNet Grupo de cordinación de Seguridad, IRIS-CERT 26 de Octubre de 2004 Indice Zombies, bot, etc. Funcionamiento de las botnet Localización y eliminación. Bots & Zombies Bot:: Inicialmente del termino

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

Control de Acceso. 12 de junio de 2002 Control de Acceso-1

Control de Acceso. 12 de junio de 2002 Control de Acceso-1 Control de Acceso El tema de Control de Acceso es el eje tradicional del estudio de seguridad informática, porque trata de mecanismos que operan en cada máquina en forma aislada, usualmente por una combinación

Más detalles

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

SYMANTEC ISTR XI Informe sobre Amenazas a la Seguridad en Internet América Latina

SYMANTEC ISTR XI Informe sobre Amenazas a la Seguridad en Internet América Latina SYMANTEC ISTR XI Informe sobre Amenazas a la Seguridad en Internet América Latina Marzo 2007 NOTA IMPORTANTE SOBRE ESTAS ESTADÍSTICAS Las estadísticas presentadas en este documento se basan en los ataques

Más detalles

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara 7º Unidad Didáctica Protocolos TELNET y SSH Eduard Lara 1 1. SERVIDOR TELNET Telnet viene de TELecommunication NETwork. Es el nombre de un protocolo de red y del programa informático que implementa el

Más detalles