Ataques. Prof. Rodriguez Ricardo

Transcripción

1 Ataques Prof. Rodriguez Ricardo 1

2 Ataques Los ataques a las redes pueden ser definidos como actividades sistemáticas dirigidas a disminuir o corromper la seguridad Desde este punto de vista, un ataque puede ser definido como una amenaza sistemática generada por una entidad de una manera artificial, deliberada e inteligente Las redes de computadoras pueden ser vulnerables a muchas amenazas utilizando distintas formas de ataque, entre ellas: Ingeniería social Malware Scam Etc. 2

3 Ataques (tipos de ataques) Los tipos de amenazas pueden clasificarse acorde a la técnica que se emplea para realizar el ataque Tipos Ingeniería social Malware Scam Spam Phishing Sniffing Descripción Obtener información confidencial como credenciales a través de la manipulación y la confianza de usuarios legítimos. Estas credenciales se usaran para beneficio propio mediante robos a cuentas bancarias, chantaje, etc. Programas malintencionados que afectan a los sistema, pueden ser: virus, espías, troyanos, etc. Estafa electrónica por medio del engaño como donaciones, transferencias, compras de productos fraudulentos. Las cadenas de mails engañosas pueden ser Scam si hay perdida monetaria o HOAX (bulo) cuando solo hay engaño Correo o mensaje basura, no solicitados no deseados o remitente no conocido habitualmente de tipo publicitario enviados en grandes cantidades. Estafa basada en la suplantación de identidad para tener acceso a cuentas bancarias o comercio electrónico ilícito Es una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet. El objetivo es hacerse de información confidencial 3

4 Ataques (tipos de ataques) (Cont.) Ejemplo de Malware: Un ejemplo ha ocurrido en una empresa química Holandesa, DSM. El procedimiento era tan sencillo como dejar descuidadas unas cuantas memorias o pen-drive USB infectadas con un malware que permitía enviar a un sitio externo los usuarios y contraseñas. El objetivo era que un empleado conectase la memoria en un equipo de la empresa para que quedase infectado y apoderarse de esta información. En lugar de eso, una de las personas que la encontró la entregó al departamento TI que identificó el problema. 4

5 Ataques (tipos de ataques) (Cont.) Ejemplo de Scam: Salven a Willy: Willy sigue vivo, la última fotografía que se le hizo data de una semana. Los veterinarios y especialistas en animales en extinción han confirmado que, o se actúa rápido o Willy morirá. Si Usted desea ver a Willy volviendo a surcar los mares del mundo, no dude en aportar su imprescindible ayuda, bien con mensajes de apoyo, bien mediante su aportación económica al número de cuenta que se adjunta. Pásalo a todos sus amigos. Se trata de bulos e historias inventadas, cuyo fin último es destapar el interés del lector o destinatario. Dichas comunicaciones pueden tener como finalidad última: Conseguir dinero - como en el ejemplo expuesto- o propagar un virus Últimamente, se están recibiendo en teléfonos móviles, en los que los destinatarios de SMS pueden recibir un mensaje en el que se les comunica que deben confirmar a un número determinado una supuesta actuación 5

6 Ataques (tipos de ataques) (Cont.) Ejemplo de Spam: El Spam también invade los SMS. Cuando antes esta expresión hacía referencia sólo a los denominados "correos electrónicos basura", ahora también afecta a los móviles Mensajes de texto que llegan en cualquier horario al celular con ofertas insólitas y publicidades que en general el usuario nunca pidió 6

7 Ataques (tipos de ataques) (Cont.) Ejemplo de Pishing: Es un caso producido en octubre La estafa se producía en las tarjetas VISA. A los usuarios de dichas tarjetas les llegaba un mensaje aparentemente de VISA, que trae de tema tú seguridad y la de tu tarjeta y que por este motivo han desactivado tu cuenta, al reformar el sistema. El mensaje, por supuesto te da una opción, de pinchar en un enlace. Dicho enlace te decían que era la página a la que debías dirigirte para poner tus datos y reactivar la cuenta cuanto antes. El correo dice venir de [email protected], lo que es mentira. 7

8 Ataques (tipos de ataques) (Cont.) Tipos Spoofing Pharming Denegación de servicio - Denial of Service (DoS) Password Cracking Descripción Suplantación de identidad o falsificación, por ejemplo se puede encontrar IP, MAC, tabla ARP, WEB o mail Spoofing. En suplantación de IP consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar Es una técnica avanzada para llevar a cabo el Phising. Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa, falsificada y fraudulenta Causar que un servicio o recurso sea inaccesible a los usuarios legítimos Descifrar contraseñas de sistemas y comunicaciones. Los métodos mas comunes son mediante Sniffing, observando directamente la introducción de caracteres, ataques de fuerza bruta, etc. 8

9 Ataques (Cont.) Los ataques de seguridad pueden clasificarse en: Ataques pasivos Ataques activos 9

10 Ataques Pasivos Sólo husmean el sistema pero no lo modifican o destruyen: Relacionados con la escucha y divulgación de la información (Snooping) El análisis de tráfico (Packet Sniffing) Un atacante pasivo sólo pone en peligro la confidencialidad de los datos El objetivo del atacante es obtener la información que se esta transmitiendo Los atacantes están relacionados con el contenido (espionaje) del mensaje y con el análisis del tráfico Espionaje: por lo general la información se manda sin cifrar por internet lo que permite al atacante interpretar la misma Análisis de trafico, es el proceso de interpretar y examinar los mensajes para deducir patrones en la comunicación aun cuando los mensajes están cifrados. Por lo general el análisis de trafico permite a un atacante están manteniendo una conversación. 10

11 Ataques Activos Dañan o lo modifican a su favor sistemas y datos: Un ataque activo amenaza la integridad, autenticación y confidencialidad de los datos Pueden dividirse en 6 categorías los ataques activos: 1. Suplantación de identidad: suplanta el atacante la identidad de otro usuario 2. Repetición: una transmisión es repetida o retardada 3. Modificación de mensajes: el atacante elimina un mensaje que atraviesa la red, lo altera y lo reinserta 4. Hombre en el medio: ej. intercepta las comunicaciones entre dos entidades (usuario - sitio web) y con la información que consigue suplanta la identidad del usuario o cualquier fraude 5. Denegación de servicio: una organización se ve privada de la utilización de los recursos o servicios que usa 6. Amenazas avanzadas persistentes: un atacante consigue un acceso no autorizado a la red y permanece ahí sin ser detectado por un período largo. La intención es solo la de robar datos 11

12 El Atacante Es un individuo que obtiene o trata de obtener permisos o acceso no autorizado al sistema de información Tres grupos de atacantes: 1 Según ubicación del atacante respecto del sistema Interno Externo o intruso 2 Según nivel de conocimiento del atacante Aficionados Profesionales 3 Según el objetivo ( por qué se ha realizado el ataque?) 12

13 Sistema de seguridad = TECNOLOGIA + ORGANIZACIÓN Se analizará la seguridad desde distintas perspectivas 13

14 1) Seguridad pasiva Intenta minimizar el impacto y los efectos causados por accidentes, por un usuario o por malware. Se consideran medidas o acciones posteriores a un ataque o incidente Posibles problemas con soluciones propuestas: Las consecuencias producidas por las amenazas previstas son: Perdida o mal funcionamiento del hardware Falta de disponibilidad de servicios Perdida de la información 14

15 1) Seguridad pasiva (Cont.) La perdida de información es el aspecto fundamental en torno a lo que gira gran parte de la seguridad informática, por lo que como medida transversal y siempre recomendada es la planificación y realización de copias de seguridad que permitan recuperar los datos. 15

16 1) Seguridad pasiva (Cont.) Copias de seguridad Las copias de seguridad o Backup, son replicas de datos que nos permiten recuperar la información original en caso de ser necesario Ordenar de mayor a menor prioridad: Archivos Datos Configuraciones que son difíciles de volver a realizar o recuperar Manteniendo las copias seguras en espacio y tiempo Las copias se pueden almacenar en: Soportes extraíbles (CD, DVD, PEN drive) En particiones o directorios distintos de nuestra maquina En unidades compartidas de otros equipos En discos de red En servidores remotos Etc. 16

17 1) Seguridad pasiva (Cont.) Tres modelos de almacenamiento: DAS (Direct Attached Storage) Método tradicional, el propio disco duro de la PC o servidor NAS (Network Attached Storage) sistema de almacenamiento orientado al servicio de archivos a través de una red de área local SAN (Storage Area Network) Dispositivos de almacenamiento conectados a una red de alta velocidad, esto debido a la infraestructura se aplica en grandes organizaciones Tanto en SAN como en DAS, las aplicaciones y programas de usuarios hacen sus peticiones de datos al sistema de archivos directamente. La diferencia reside en la manera en la que dicho sistema de archivos obtiene los datos requeridos del almacenamiento. 17

18 1) Seguridad pasiva (Cont.) Modelos y tipos de almacenamiento: El modelo SAN utiliza distintos protocolos como Fiber Channel (FC) o iscsi En la tecnología NAS, las aplicaciones hacen las peticiones de datos a los sistemas de archivos de manera remota mediante protocolos CIFS (Common Internet File System) y NFS (Network File System) Sistemas de archivos: NFS: protocolo de aplicación desarrollado por Sun Microsystems (1981). Utilizado para sistemas de archivos distribuidos en un entorno de red de computadoras de área local. Posibilita que distintos sistemas conectados a una misma red accedan a archivos remotos como si se tratara de locales. Se encuentra por defecto en los Sistemas Operativos UNIX y la mayoría de distribuciones Linux. CIFS: es el nombre que adoptó Microsoft en 1998 para el protocolo SMB (Server Message Block) fue desarrollado por IBM y permite compartir archivos, impresoras, y demás recursos entre nodos de una red. Se usa principalmente en computadoras con Windows y DOS. En Unix se llama SAMBA 18

19 1) Seguridad pasiva (Cont.) CIFS y NFS CIFS y NFS Sobre TCP/IP CIFS y NFS FC o Gibabit Ehternet 19

20 NAS Network Attached Storage Prof. Rodriguez Ricardo 20

21 1) Seguridad pasiva (Cont.) NAS (Network Attached Storage) NAS no es una red Es un dispositivo dedicado a compartición de archivos Usa la Lan o Wan sobre protocolos TCP/IP Soporta los protocolos de transferencia de archivos CIFS, NFS Y HTTP FTP puede ser usado en entornos NAS No provee características de server no es un mail server etc. Es para redes SOHO más que nada Envió de un archivo desde A hacia B Video: Muestra que todos pueden acceder al NAS 21

22 SAN Storage Area Network Prof. Rodriguez Ricardo 22

23 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) Se distingue de otros modos de almacenamiento en la red por el modo de acceso a bajo nivel Cuando se habla de SAN se habla a nivel de bloques de unos y ceros. El usuario nunca accede sino que lo hace las aplicaciones La administración es centralizada, permite la escalabilidad al adosar discos y el nivel de acceso juega un punto muy importante Del lado derecho en la imagen se usan protocolos como Fiber Channel Protocol (FCP) Del lado izquierdo encontramos una red LAN con Switches que usan TCP/IP 23

24 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) Los elementos de una arquitectura SAN son: Una red de alta velocidad de canal de fibra (Fiber Channel) o SCSI (Small Computers System Interface) Un equipo de interconexión dedicado (conmutadores o switches), estos conmutadores de FC controlan el estado del medio físico Elementos de almacenamiento de red (discos duros) 24

25 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) La idea es acceder a dispositivos (Discos) con interfaz SCSI y mandarles comandos, estos comandos viajan en protocolos especiales y luego se encapsulan en otros de bajo nivel Fiber Channel (FC) es una tecnología de conexión estándar para el uso en redes de almacenamiento. La señalización interna puede funcionar tanto sobre cobre como sobre fibra óptica e fibra óptica (multimodo o monomodo) Las redes FC en principio son más seguras que las basadas en Ethernet ya que el tráfico está aislado del tráfico normal FCP es el protocolo de transporte para la transmisión de comandos SCSI (en redes Fiber Channel), entre los dispositivos conectados a dicha red de fibra Protocolo iscsi (Internet SCSI) estándar que permite el uso del protocolo SCSI sobre redes TCP/IP Puede usarse a través de una red de área local (LAN), una red de área extensa (WAN) o Internet. La adopción del iscsi en entornos de producción corporativos se ha acelerado en estos momentos gracias al aumento del Gigabit Ethernet. La fabricación de almacenamientos basados en iscsi es menos costosa y está resultando una alternativa a las soluciones SAN basadas en FC 25

26 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) iscsi: SCSI realiza un mapeo directo entre la información SCSI de almacenamiento y la pila de protocolos TCP/IP. FCIP (Fibre-Channel over IP): realiza un mapeo directo entre el protocolo FC (FCP) y TCP/IP (FCoE) Fibre-Channel over Ethernet: directamente sin pasar por TCP/IP 26

27 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) Las topologías en FC puede ser punto a punto, anillo o medio conmutado donde todos los dispositivos se conectan a Switches llamado FABRIC Topología: Punto a punto: problemas de conectividad puesto que se usan las controladoras de los dispositivos SAN y es limitado Bucle arbitrado (FC-AL): es igual al concepto de Token de las redes LAN solamente una máquina puede acceder hasta 126 dispositivos FC HUB: se utiliza un Hub, los dispositivos están conectados a través de los Hub y soportan hasta 127 nodos Fabric o medio conmutado: en esta tecnología hay uno o muchos switchs donde están conectados los servers y los storage. Cantidad de nodos que soporta es 16 Millones Punto a punto Hub Fabric 27

28 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) Arquitectura FC, sus capas parecidas al modelo OSI de TCP/IP Protocolos de comunicación de comandos Que se encapsulan para FC Por ejemplo codificación manchester Velocidades de transmisión 28

29 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) Elementos de Almacenamiento: Son la base de los sistemas SAN El almacenamiento no forma parte de un bus particular de un servidor, es decir, el almacenamiento se externaliza y su funcionalidad se distribuye Unidades de cinta magnética, robots de cintas y Cabinas de discos se conectan directamente a la red FC Las cabinas de discos tienen una controladora que se conectan a la SAN mediante puertos FC y a la estructura interna de la cabina mediante buses SCSI o conexiones FC Los discos serán dispositivos SCSI o discos FC Las controladoras tiene funcionalidades de redundancia y paridad tipo RAID, de acceso a los volúmenes o LUN por ellas gestionadas (LUN: Número de unidad lógica) y capacidad de tomar el control del sistema transparentemente si su pareja falla 29

30 1) Seguridad pasiva (Cont.) SAN (Storage Area Network) (Cont.) Características de una SAN: Tráfico muy similar al de los discos rígidos ATA, SATA, SCSI Usa protocolo SCSI para acceder a los datos aunque no usen interfaces físicas SCSI Latencia: minimiza el tiempo de respuesta del medio de transmisión Conectividad: conecta múltiples servidores al mismo grupo de disco, cintas, Distancia: coma van sobre fibra óptica, pueden llegar a una distancia de hasta 10 km sin tener ruteadores Velocidad: desde 1 Gbps hasta 16 Gbps 30

31 Concepto de Raid Raid (Redundant Array of Independent Disks) es un sistema de almacenamiento de datos que usa múltiples unidades de almacenamiento de datos entre los que se distribuyen o replican los datos Hoy hay aproximadamente 12 tipos o variedades distintas de RAID Sin embargo sólo se conocen seis niveles RAID realmente relevantes Elegir el nivel RAID adecuado dependerá de: Tipo de datos de las aplicaciones Nivel de relevancia de esos datos Número de usuarios Raid 0: Archivo a almacenar Divide o reparte los datos entre todas las unidades del grupo Raid. La ventaja del raid 0 es que ofrece mayor rendimiento de los datos, cualquier fallo en uno de los discos se pierde todo. En el ejemplo el archivo se divide en 5 partes y va a ir cada parate a cada uno de los discos 31

32 Concepto de Raid (Cont.) Raid 1: Se denomina mirrow, duplicación en espejo. Es una copia exacta de un conjunto de datos en dos o mas discos. Si se produce algún fallo o avería en alguna de las unidades, no se pierde ningún dato La ventaja de utilizar una RAID 1 es disponer de un mayor rendimiento de lectura multiusuario, puesto que pueden leerse ambos discos al mismo tiempo La desventaja es que el costo de la unidad de almacenamiento por byte usable se multiplica por dos, puesto que se necesitan dos unidades para almacenar los mismos datos 32

33 Concepto de Raid (Cont.) Raid 5: Es el nivel raid mas habitual en la mayoría de las empresas Ofrece tolerancia a fallas La información se divide en bloques Distribuye los bloques de datos entre distintas unidades y repartiendo la paridad entre ellas Necesita un mínimo de 3 discos para ser implementado (para calcular la paridad) Concepto de Paridad 33

34 1) Seguridad pasiva (Cont.) Tipos de Backup: a) Completa, total o integra (Full Backup): copia total de todos los datos completos (archivos y directorios) b) Incremental: solo se copian los archivos que han cambiado desde la ultima copia. c) Diferencial: copia todos los cambios desde el primer Full Backup realizado 34

35 1) Seguridad pasiva (Cont.) Si hacemos una copia total el 1ª de cada mes y copia diferencial el resto de los días, cada copia diferencial guardará los archivos que se hayan modificado desde el día 1. La ventaja es que se requiere menos espacio que la total y en la restauración solo necesitamos la ultima copia total y la ultima copia diferencial Ejercicio para hacer en clase de copia incremental y diferencial 35