Seguridad de Redes de Computadoras Víctor M. Cabezas

Transcripción

1 TALLER # 2 Seguridad de Redes de Computadoras Víctor M. Cabezas

2 INVESTIGACIÓN BLOQUEO DE PUERTOS Ataques de denegación de servicio DDoS Un ataque de denegación de servicios, también llamado ataque DDoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo de la transferencia de información (ancho de banda) de la red de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el o los servidores se sobrecarguen y no puedan seguir prestando servicios, por eso se le denomina denegación, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados hackers para dejar fuera de servicio a servidores objetivo. El riesgo es real y cada vez es más peligroso Si piensa que su organización, por ser pequeña, es irrelevante para ser una víctima interesante para un hacker, piénselo de nuevo. Cualquier organización es una posible víctima y la mayoría de nosotros somos vulnerables a los ataques DDoS. Tanto si se trata de una empresa global, una agencia gubernamental o una pyme, todas ellas están dentro de la lista de objetivos de los ciberdelincuentes actuales. Incluso las empresas más seguras, con una gran inversión de recursos y expertos en seguridad han sido víctimas de estas amenazas. Ejemplo de ello sería empresas como Amazon, Visa, Sony, Monsanto, PostFinance, Paypal o Bank of America. Recientemente, el número de incidentes por DDoS se ha incrementado significativamente. Los ataques además han aumentado en escala, incluso excediendo el volumen del tráfico de 100 Gbps. Variedades de los ataques DDoS En el nivel más básico, un ataque DDoS es un intento de hacer que una máquina o recurso de red quede inutilizada o no disponible para sus usuarios. Aunque las motivaciones para llevar a cabo un ataque DDoS son muy variadas, normalmente consiste en los esfuerzos de una o más personas que, de forma temporal o indefinida, interrumpen o suspenden los servicios de un host conectado a Internet. Como es costumbre, esto se lleva a cabo mediante los esfuerzos coordinados de botnets distribuidos, que pueden emplear hasta cientos de miles de computadores zombies, máquinas que han sido infectadas previamente y son controladas de forma remota, simplemente esperando órdenes. Los ataques DDoS trabajan tanto desde los flujos de inicio del tráfico hasta los recursos del servidor, interrumpidos por fuerza bruta, o explotando vulnerabilidades inherentes para echar abajo los servidores target. Los ataques por flujo incluyen ICMP, SYN, y otros flujos por nivel de aplicación. Los ataques por flujo DDoS a menudo provocan energía asimétrica de grandes botnets distribuidos. Estos pueden crear múltiples formas para enviar cantidades gigantescas de peticiones a servidores web deseados. Los ataques Crash attacks a menudo mandan paquetes deformados que se aprovechan de los errores de los sistemas operativos. Se trata de intentos de ataques DDoS por nivel de aplicación para hacer fallar el sistema mediante exploits en las aplicaciones del servidor. Los ataques DDoS nacidos como malware pueden comprometer potencialmente los sistemas botnet con troyanos, que a cambio hacen estallar la descarga de un agente zombie.

3 INVESTIGACIÓN BLOQUEO DE PUERTOS Aún más, los ataques son cada vez más sofisticados. Por ejemplo, los botnets no solo fluyen en paquetes de emisión en un servidor objetivo, sino que además establecen conexiones con servidores para iniciar volúmenes aplastantes de transacciones de aplicaciones falsas desde el interior. Por qué DDoS? Los criminales utilizan DDoS ya que es barato, difícil de detectar, y altamente efectivo. Los ataques por DDoS son baratos ya que pueden proporcionar redes distribuidas de cientos de ordenadores zombies infectados con gusanos u otro tipo de métodos automáticos. Por ejemplo, los ataques DDoS de MyDoom utilizaron un gusano para distribuir el lanzamiento de un ataque por flujos. Debido a que estos botnets se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de un botnet por menos de $ 100 dólares para un flujo de ataques, o contratar ataques específicos por $ 5 dólares la hora. Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e imitan el tráfico autorizado normal. Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda. Qué pueden hacer los departamentos de TI? Claramente los departamentos TI necesitan estar alerta y dar pasos preventivos contra los ataques DDoS. La firma analista Gartner afirma que la mitigación de los ataques DDoS debería ser una parte estándar de la planificación en la recuperación de desastres y la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio depende de la disponibilidad de la conectividad a Internet. Para hacer esto efectivo, un negocio debe ser preventivo, estar preparado y ser fuerte contra los ataques DDoS. Los departamentos TI necesitan ser prevenidos Los departamentos de TI deberían saber cuales son sus cuellos de botella. Una organización TI bien preparada debería identificar las partes de la red más propensas a ser atacadas por DDoS, como el ancho de banda a internet, firewalls, prevención de intrusiones (IPS), balanceador de cargas o servidores. Más aún, las TI necesitan monitorizar de cerca estos potenciales puntos de fallo, y evaluar si actualizar u optimizar su rendimiento y resistencia. Finalmente, los responsables TI deberían conocer su tráfico. Las TI no pueden controlar lo que se puede y lo que no se puede ver. Por tanto las TI deberían escanear y monitorizar tanto el tráfico de entrada como el de salida para ganar visibilidad en volúmenes poco usuales o diseños que puedan identificar sitios target o revelar botnets dentro de la red. Para los más preparados, las TI necesitan además visibilidad en el tráfico de capa 7 con el objetivo de identificar y controlar ataques DDoS por capas de aplicación.

4 PARA REALIZAR DENEGACIÓN DE SERVICIOS En los últimos meses se ha visto como los ataques de DoS (Denegación del Servicio) han aumentado considerablemente contra empresas, organismos públicos o institucionales como método de protesta por decisiones políticas, la situación financiera, etc La eficacia de estos ataques DoS reside en el carácter distribuido de los mismos, estos son realizados desde múltiples lugares del mundo, gracias a la propagación y distribución de las herramientas de ataque a través de las redes sociales e Internet. Por ejemplo, una de las técnicas de propagación de este tipo de ataques DDoS (Denegación de Servicio Distribuido) es el que pone en práctica el grupo Anonymous, éste consisten en transmitir un tweet con un mensaje reivindicativo, normalmente con fines políticos (hacktivismo), acompañado de una dirección URL. Esta dirección URL proporciona la herramienta necesaria para realizar el ataque de DoS por inundación (TCP Flood), es decir mientras tengas abierta (visualizando) la página web a la que te lleva dicha URL, se estará produciendo un ataque desde tu dirección IP al objetivo particular elegido para ese momento. Cómo se puede proteger una aplicación WEB ante ataques de Denegación de Servicio (DoS)? La denegación de servicio consiste en intentar consumir los recursos del servicio evitando el funcionamiento normal del mismo. El ataque más común y ampliamente utilizado es el que se conoce con el nombre de inundación (Flood), es un ataque que consiste en solicitar la información a una página web (HTTP Request) de manera masiva y sin esperar a la respuesta (HTTP_Response). Una manera efectiva es bloquear la IP origen desde la que se está produciendo un comportamiento anómalo en cuanto al número de peticiones por segundo que se realizan a la página WEB, sin embargo esta práctica tan simple que resulta muy efectiva contra ataques DoS puntuales y centralizados, no surge efecto en el momento que se utilizan técnicas de ataque distribuidas (DDoS), pues el número de peticiones que se reciben masivamente provienen desde múltiples direcciones IP. No podemos bloquear todos una por una? Si el volumen de equipo (atacando al mismo tiempo es excesivo podría ahogar los recursos hardware (CPU / Memoria) del dispositivo cortafuegos que se encuentra bloqueando miles de direcciones IP. Pero sin embargo, suponiendo que se dispone de la capacidad suficiente para ello, Quién nos asegura que no estamos bloqueando peticiones legitimas de usuarios del portal Web?

5 PARA REALIZAR DENEGACIÓN DE SERVICIOS Se recomienda, llevar a cabo otro tipo de prácticas adicionales, como por ejemplo: - Utilizar balanceadores de carga e incrementar los recursos activando servidores WEB auxiliares para hacer frente a la demanda de tráfico, así como el caudal de ancho de banda necesario. - Si con ello no es suficiente, se puede realizar un ajuste en la configuración TCP (Hardening TCP/IP Stack) del Sistema Operativo que soporta al servicio WEB para aumentar los tiempos de respuesta a un valor lo suficientemente largo, como para minimizar (ralentizar el funcionamiento del servicio) los efectos sobre el servicio que se ofrece a sus usuarios mientras dure el ataque. Las técnicas más efectivas son aquellas que disponen de un modelo combinado en cuanto a las medidas de protección, es decir, disponen de sistema de protección automático para bloquear direcciones IP en los sistema de seguridad perimetral (FW), activación de recursos latentes y ajustes de configuración para controlar algunos parámetros en particular del protocolo TCP, como por ejemplo: En Sistemas Windows: Para hacer frente a los ataques de DoS (TCP Flood, mediante SYN Attack) Microsoft proporciona una sería de recomendaciones (guía) de seguridad para configurar adecuadamente los parametros de la torre de protocolos TCP/IP. Esta configuración se lleva a cabo mediante el acceso al registro de windows, concretamente bajo la clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters. Lo primero es activar la protección frente ataques TCP-SYN (Peticiones incompletas del protocolo TCP) para ello se dispone de un parametro especifico para activar la medidas de proteccion: SynAttackProtect con valor 2. Este parámetro realiza un reajuste en el valor de "tiempo de espera", es decir, realiza una reducción del tiempo (timeout) para responder más rápidamente a este tipo de eventos / peticiones. La activación de este reajuste se controla mediante los umbrales definidos en los parámetros: TcpMaxHalfOpen y TcpMaxHalfOpenRetried. Los valores recomendados para esos parámetros son 500 y 400 respectivamente. Si se exceden los valores umbrales se activará la protección SYN-Attack y reajustará automáticamente los valores para tratar de hacer frente a este tipo de ataques. Además se puede configurar otros parámetros que ayudan a proteger el sistema y evitar el consumo excesivo de recursos (CPU, Ancho de banda, Memoria RAM) ante este tipo de ataques: TcpMaxConnectResponseRetransmissions (2) : 2 significa el número de reintentos de envio SYN-ACK antes de cancelar la respuesta SYN-Request. TcpMaxDataRetransmissions (2): 2 significa el número de reintentos antes de abortar la conexión. EnablePMTUDiscovery (0) KeepAliveTime (300000)

6 PARA REALIZAR DENEGACIÓN DE SERVICIOS DoSHTTP es una herramienta fácil de usar y de gran alcance HTTP Flood Denial of Service (DoS) herramienta de prueba para Windows. DoSHTTP incluye designación de puerto y presentación de informes. DoSHTTP utiliza múltiples sockets asíncronas para realizar una eficaz inundación HTTP en contra de cualquier sistema operativo de red.

7 PARA LEVANTAR UN FIREWALLS Posiblemente la elección más difícil sea la del Firewall (ya sea libre, o uno comercial). De esta decisión depende en gran medida la seguridad que se consiga, por lo que hay que tener gran cantidad de factores en cuenta, desde el nivel de seguridad que se quiere alcanzar realmente, hasta el tiempo que se puede emplear en la puesta en marcha del sistema y en el caso de poner uno de pago, también hay que tener en cuenta el presupuesto disponible. En el apartado de Filtros Software es donde aparece la distinción entre Firewall libre o de pago, puesto que todos los Firewall Hardware son propietarios. La mayoría de Firewall libres se distribuyen para Linux, y se basan en IPChains, una facilidad que ofrece el sistema operativo para filtrar el tráfico. Para poner un Firewall basado en IPChains es necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basándose en direcciones IP de destino / origen, puertos y protocolo de aplicación. Este tipo de Firewalls son bastante seguros y simples, porque en todo momento se tiene conocimiento de lo que protege y de lo que no, pero requiere bastantes conocimientos, ya que no es conveniente fiarse de lo que hace determinada aplicación que simplifica el proceso. Ofrecen una seguridad limitada, ya que no hacen análisis de trafico de ningún tipo, pero son fácilmente escalables ya que usa un sistema operativo normal (no propietario) y se pueden integrar Proxies de distintos tipos, así como programas de IDS, anti troyanos, etc, todos ellos de libre distribución. Son útiles para usuarios finales de Linux, que pueden instalar un Firewall a medida sin necesidad de cambiar nada del sistema operativo. Esta configuración puede ser recomendable para una pequeña red, con un nivel moderado de seguridad. El otro tipo de Firewalls libres se distribuyen para Windows, y suelen ser versiones libres de otros comerciales (a modo de Demo). La mayoría son Proxies, que integran muchos de los servicios comunes de Internet, aunque también se puede encontrar alguno de filtrado clásico. Todos los Proxies requieren un componente de creencia por parte del usuario, ya que son totalmente transparentes, y no se sabe lo que están haciendo (se deposita la confianza en el programador), además, limitan el número de servicios a usar a aquellos que integre el Firewall, por lo que dependiendo del tipo de uso que se quiera dar a la red pueden ser útiles o no. Se puede instalar en el DMZ, para proporcionar determinados servicios con un nivel de seguridad mayor. Los filtradores de Windows siguen una estructura similar a las reglas de IPChains, por lo que requieren un conocimiento de redes para ponerse en marcha. Son útiles para usuarios finales de Windows (con conocimientos de redes), por razones similares a las de los de Linux, pero no son recomendables para un Router/Firewall, ya que Windows es un sistema operativo menos seguro y estable que Linux. Por otro lado están los Firewall software de pago, creados por compañías de seguridad de reconocido prestigio. Estos Firewall garantizan una aplicación muy compacta, y con bastantes más funcionalidades que un simple IPChains. Algunos traen su propio sistema operativo, que puede ser propietario o una modificación de Unix (para hacerlo seguro), y otros funcionan sobre un sistema operativo normal. Tienen el defecto de que si se descubre una vulnerabilidad en el (lo cual no es nada normal), tarda bastante en resolverse, por lo que estas un tiempo al descubierto, mientras que los software libres están en continuo testeo y reparación. Aun así, se puede asegurar que estos Firewall propietarios aportan un nivel de seguridad mayor que el que puede aportar uno de libre distribución. La mayoría de productos comerciales vienen con una configuración básica de funcionamiento, pero permiten su posterior configuración, para ajustarlo así a las necesidades específicas de cada usuario, por lo que serán necesario conocimientos de redes suficientes para crear las reglas de filtrado. Esta opción es muy recomendable para empresas de tamaño medio, que tengan necesidad de proteger sus datos, pero que no estén dispuestas a gastarse el dinero que vale un Firewall de Hardware. Existe otra opción, los Freeware de Demostración. Son un híbrido entre aplicación comercial y software libre, ya que implementan una versión incompleta del software de pago, de forma que se puede probar indefinidamente (normalmente estas versiones caducan pasados 15 o 30 días).

8 PARA LEVANTAR UN FIREWALLS NETDEFENDER