Entorno. Seguro? Rivero Jesús.

Transcripción

1 Entorno Seguro? Rivero Jesús

2 Licencias Copyright (c) Jesús Rivero. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front Cover Texts, and no Back Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".

3 Premisas Como nos pueden atacar? Desde donde? Sirve para saber: qué soluciones se cuenta para prevenir. detectar un ataque de red. reparar un ataque de red.

4 Como empezar? La seguridad informática es una combinación de herramientas que tienen que ver con la tecnología y con los recursos humanos (políticas, formación, concientización, capacitación, tanto de los usuarios como de los administradores de la red). Simulaciones de ataques reales de intrusión (Penetration Test): Muy importante, ya que con éstas podemos saber que tanto pueden hacer los atacantes con las herramientas disponibles en la red. Actualizaciones de los parches de seguridad.

5 Como empezar? (cont) Deshabilitar servicios que provean información, por ejemplo: fingerd (utilizado por NIS) el cual corre en el puerto 79 y cfinger en el puerto 2003, en caso que el administrador requiera saber que tanto los usuarios tratan de reventar el sistema, se recomienda usar identd.

6 Footprinting: El footprinting es el proceso de acumular datos con respecto a un ambiente específico de la red, generalmente con el fin de encontrar maneras de introducirse en el entorno. Generalmente se empieza con: ping, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, nmap. Para protegerse sería bueno iniciar con SNORT. Fingerprinting: Técnica específica que permite extraer información de un sistema concreto, el cual se basa en la obtención de su huella identificativa respecto a la pila TCP/IP. Los programas más comunes utilizados para ésta técnica son: nmap, queso (activos) y sniffers (pasivos).

7 Packet Sniffer: Programa de captura de las tramas de red. Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varios ordenadores y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Snooping: Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla. Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los

8 documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma. Aunque el resultado es en muchos aspectos similar al sniffing, técnicamente poco tiene que ver con este: en ningún momento se capturan datos que circulan por la red, la tarjeta no trabaja en modo promiscuo (es mas, ni siquiera es necesario un interfaz de red), etc; simplemente, la información que un usuario introduce en un terminal es

9 clonada en otro, permitiendo tanto la entrada como la salida de datos a través de ambos. En algunas versiones de Linux existe un programa denominado ttysnoop capaz de registrar en tiempo real todo lo que un usuario teclea en una terminal, tanto física como virtual. Para protegerse de ataques pasivos una buena ténica resulta aplicar protocolos de cifrado de archivos como por ejemplo: SSL, SSH, S/MIME, IPSec. Así como una herramienta llamada Tripwire.

10 A grandes rasgos y desde un punto de vista práctico, los protocolos que funcionan bajo el mismo principio son: SSL: comunicaciones entre navegadores Web y servidores Web, o entre los propios servidores. PGP, Pretty Good Privacy: encriptación de correos electrónicos. S/MIME: envío y recepción de mensajes electrónicos.

11 SSH: comunicaciones de establecimiento de sesiones (de tipo carácter y gráficas) así como transferencia de ficheros (ver apartado específico). IPSec: comunicaciones seguras entre dispositivos de red: clientes, routers, firewalls... Permiten el establecimiento de redes privadas virtuales (VPNs).

12 El protocolo SSL emplea esta técnica para encriptar la información trasmitida entre el cliente y el servidor. Los pasos implicados en el establecimiento de una conexión SSL cuando sólo si existen certificados digitales de servidor son: 1. El cliente (navegador Web) solicita al servidor su identificador (certificado digital).

13 2. El cliente confirma la validez del certificado, comprobando la URL y la fecha, y confirmando la firma de la CA. Para ello el cliente debe poseer la clave pública de la CA, y confiar en ella. El cliente extrae del certificado la clave pública del servidor. 3. El cliente genera una clave de sesión única, utilizada en exclusiva para este cliente y esta conexión, de ahí el concepto de sesión.

14 4. El cliente encripta la clave de sesión empleando la clave pública del servidor, y se la envía al servidor. 5. El servidor desencripta la clave de sesión empleando su clave privada 6. La comunicación a partir de este momento entre el cliente y el servidor se encripta y desencripta empleando un sistema de clave privada basado en la clave de sesión intercambiada. 7. El cliente utiliza ese canal de comunicación con el servidor Web para identificarse, normalmente mediante un usuario y una clave, proporcionados previamente por los gestores del servidor.

15 En el caso de que también existiera en la comunicación certificado digital de cliente, y no solo de servidor, la autenticación del cliente correspondiente al paso 1, sería similar a la autenticación de servidor explicada, pero en el otro sentido de la comunicación. Spoofing: Uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

16 IP Spoofing: Suplantación de IP. Consiste básicamente en sustituir la IP origen de un paquete TCP/IP por otra IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. ARP Spoofing: Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP falseadas con el objetivo de falsear la tabla ARP (relación IP MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.

17 La manera más sencilla de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas) DNS Spoofing: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables.

18 Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning). WEB Spoofing: Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB visitas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltandose incluso la protección SSL.

19 El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

20 MAIL Spoofing: Suplantación en correo electrónico de la dirección e mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Otra técnica de protección es el uso de firmas digitales.

21 Phishing: es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.