Evolución de las políticas de seguridad en redes académicas universitarias

Transcripción

1 Evolución de las políticas de seguridad en redes académicas universitarias Alfredo Miguel Montes 9/10/01 Instituto Universitario Aeronáutico 1

2 Introducción! Las universidades, particularmente las nacionales, han constituido tradicionalmente sistemas abiertos. Este esquema brinda una gran facilidad de uso a los docentes e investigadores, pues permite compartir información con colegas de todo el mundo. Sin embargo, el creciente nivel de intrusiones y ataques de negación del servicio ha provocado un paulatino cambio en las políticas de seguridad, tendiendo a una mayor restricción del acceso a las redes. 9/10/01 Instituto Universitario Aeronáutico 2

3 Posibles políticas de seguridad! Todo lo que no está prohibido está permitido (default allow)! Todo lo que no está permitido está prohibido (default deny) 9/10/01 Instituto Universitario Aeronáutico 3

4 Tipos de redes universitarias! Redes abiertas Amplio espacio de direcciones IP públicas Múltiples servidores Administración descentralizada Todo lo que no está prohibido está permitido! Redes cerradas Uso de direcciones IP privadas Número reducido de servidores Administración centralizada Todo lo que no está permitido está prohibido 9/10/01 Instituto Universitario Aeronáutico 4

5 Características típicas de una red universitaria en la Argentina! Conexión directa a Internet mediante un acceso dedicado! Router con gestión propia! Ancho de banda reducido en relación al número de usuarios! Los usuarios requieren acceso externo a sus máquinas 9/10/01 Instituto Universitario Aeronáutico 5

6 Situación hace 5 años! Los servidores de correo electrónico no tenían control de relay! Los routers no tenían filtros significativos! El control de acceso a servicios internos se realizaba a nivel de host! El usuario típico que requería acceso a su máquina contaba con una workstation Unix 9/10/01 Instituto Universitario Aeronáutico 6

7 Servicios requeridos! Telnet! FTP! SMTP! POP! HTTP 9/10/01 Instituto Universitario Aeronáutico 7

8 Ejemplo Un astrónomo utiliza una workstation Unix. En su máquina tiene un servidor de web y un servidor FTP, para intercambiar información con otros astrónomos. La misma workstation sirve de servidor de correo para él y probablemente también para su grupo de investigación, por lo que requiere acceso SMTP y POP. Cada tanto viaja al exterior para realizar observaciones, y desde allí desea acceder a su máquina usando Telnet. 9/10/01 Instituto Universitario Aeronáutico 8

9 Problemas comunes! Un servidor de mail con relay abierto es usado para enviar spam, y es colocado en alguna base de datos RBL (Negación del servicio)! Una workstation Unix es comprometida, y utilizada para colocar bots de IRC (Intrusión)! Una red de máquinas Windows es puesta fuera de servicio por un ataque WinNuke (Negación del servicio)! Una red clase C es usada como amplificador de un ataque de negación del servicio 9/10/01 Instituto Universitario Aeronáutico 9

10 Secuencia de cambios! Cierre de relay de ! Bloqueo de servicios problemáticos! Bloqueo de servicios innecesarios! Control de servicios necesarios 9/10/01 Instituto Universitario Aeronáutico 10

11 Control de relay de ! Originalmente, todos los servidores de permitían el reenvio (relay) sin restricciones.! La proliferación del spam (correo masivo no solicitado) provoca que muchos sitios bloqueen a los sitios generadores del mismo.! Los generadores de spam buscan sitios con relay abierto para enviar spam a través de ellos.! Surgen mecanismos de bloqueo a sitios que tengan relay abierto (ORBS, RBL) 9/10/01 Instituto Universitario Aeronáutico 11

12 Bloqueo de servicios problemáticos! Existen servicios orientados a la red interna, y cuyo acceso externo puede ocasionar problemas Redes Windows sobre TCP/IP (puertos 137, 138 y 139) NFS DHCP, BOOTP, TFTP! Otros tienen mecanismos de autenticación débiles Telnet (puede reemplazarse con ssh) Comandos r (rlogin, rsh, reemplazables por ssh)! Otros puertos indican una probabilidad alta de compromiso de un host Back Orifice (puerto 31337) NetBus (puerto 12345, 12346, 20034) 9/10/01 Instituto Universitario Aeronáutico 12

13 Bloqueo de servicios innecesarios! Existen numerosos servicios que no es necesario brindar a máquinas externas, y que por lo tanto es prudente restringir: Radius Finger! Existen mecanismos de diagnóstico que pueden ser utilizados para recabar información o amplificar ataques de negación de servicio Determinados tipos de ICMP (por ejemplo Ping) Traceroute 9/10/01 Instituto Universitario Aeronáutico 13

14 Control de servicios necesarios! Correo electrónico Control de relay Filtro de Spam Chequeo de virus! Web Control de gusanos 9/10/01 Instituto Universitario Aeronáutico 14

15 Nuevos problemas! La proliferación de gusanos disminuye el ancho de banda efectivo, y afecta a los dispositivos de red! El uso de programas peer to peer (P2P) permite que usuarios inexpertos utilicen mucho ancho de banda 9/10/01 Instituto Universitario Aeronáutico 15

16 Proliferación de gusanos! Los gusanos que se transmiten por correo electrónico pueden provocar problemas en el trafico saliente! Los gusanos que afectan servidores de web Implican un riesgo serio de intrusión Afectan dispositivos de red (routers y switches) 9/10/01 Instituto Universitario Aeronáutico 16

17 Algunos números! Gusanos en correo electrónico (SIRCAM, NIMDA)! Gusanos que afectan al IIS Code Red Code Red II Nimda 9/10/01 Instituto Universitario Aeronáutico 17

18 Gusanos en correo electrónico! SIRCAM Buena ingeniería social Mensajes en castellano Asunto y archivo adjunto con nombres relevantes en el contexto del remitente 9/10/01 Instituto Universitario Aeronáutico 18

19 Correo electrónico: Algunos números! Mensajes de correo electrónico, en un día dado Entrantes: Salientes: 12804! Virus detectados, el mismo día Entrantes: 203 Salientes: /10/01 Instituto Universitario Aeronáutico 19

20 9/10/01 Instituto Universitario Aeronáutico % 1 1 TROJ_HYBRIS.D 0.02% 1 1 JOKE_INSULT 0.02% 1 1 TROJ_NIMDA.A 0.02% 1 1 JOKE_WOBBLING 0.02% 1 1 TROJ_HYBRIS.B 0.12% VBS_HAPTIME.A 0.14% PE_Mtx.A 0.22% TROJ_HYBRIS.M 0.30% PE_MAGISTR.B 2.86% PE_MAGISTR.DAM 96.28% TROJ_SIRCAM.A Porcentaje Total Externo Interno Virus

21 Conclusiones acerca de los gusanos de mail! El impacto sobre el ancho de banda es más notable en el correo saliente (en el caso mencionado representa un 12% del ancho de banda total)! El software antivirus, por si solo, no puede impedir el ingreso de este tipo de amenazas! Más de dos meses después de su aparición, el Sircam sigue siendo el virus/gusano de mayor impacto 9/10/01 Instituto Universitario Aeronáutico 21

22 Gusanos que atacan al IIS! El 18 de julio apareció Code Red. Infecta IISs utilizando un buffer overflow. El 20 de julio dejó de reproducirse, y volvió a comenzar el 1 de agosto! El 4 de agosto apareció Code Red II. Usa la misma vulnerabilidad que Code Red, pero deja una puerta trasera (backdoor) que permite intrusiones posteriores! El 18 de septiembre apareció Nimda. Usa un conjunto de vulnerabilidades, entre ellas el backdoor dejado por Code Red II. Instala nuevos backdoors. 9/10/01 Instituto Universitario Aeronáutico 22

23 Gusanos de web: Algunos números! Mecanismos de detección utilizados Gráficos de monitoreo de conexiones sobre un bloque de direcciones IP equivalente a 24 clases C Intentos de conexión sobre una red clase C no utilizada Registros de acceso a un proxy que protege a 60 servidores de web 9/10/01 Instituto Universitario Aeronáutico 23

24 Intentos de conexión a un bloque equivalente a 24 clases C Agosto de 2001: Code Red y Code Red II 1 de Agosto Code Red 4 de Agosto Code Red II 9/10/01 Instituto Universitario Aeronáutico 24

25 Intentos de conexión a un bloque equivalente a 24 clases C 18 de septiembre de 2001: Nimda 18 de septiembre Nimda Día 18 de septiembre Semana del 18 de septiembre 9/10/01 Instituto Universitario Aeronáutico 25

26 Gráfico anual de conexiones Aparición de los gusanos de IIS 9/10/01 Instituto Universitario Aeronáutico 26

27 Accesos a una clase C sin uso de Agosto Code Red II 18 de Septiembre Nimda de Julio Code Red de Agosto Code Red /07/ :00 18/07/ :00 28/07/ :00 07/08/ :00 17/08/ :00 27/08/ :00 06/09/ :00 16/09/ :00 26/09/ :00 9/10/01 Instituto Universitario Aeronáutico 27

28 Accesos a una clase C sin uso (principios de agosto) Code Red II Reaparición de Code Red /07/ :00 01/08/ :00 03/08/ :00 05/08/ :00 07/08/ :00 09/08/ :00 11/08/ :00 9/10/01 Instituto Universitario Aeronáutico 28

29 Accesos a una clase C sin uso: Nimda Aparición de Nimda /09/ :00 18/09/ :00 19/09/ :00 20/09/ :00 21/09/ :00 22/09/ :00 23/09/ :00 9/10/01 Instituto Universitario Aeronáutico 29

30 Accesos a un conjunto de 60 servidores de web Cantidad de ataques por hora y gusano Code Red Nimda : : : : : : : : : : :00 9/10/01 Instituto Universitario Aeronáutico 30

31 Accesos a un conjunto de 60 servidores de web Cantidad de máquinas infectadas con Nimda, detectadas por accesos a un grupo de 60 servidores de web / 09/ :00 1 8/ 09/ :00 1 9/ 09/ :00 1 9/ 09/ :00 20/ 09/ :00 20/ 09/ :00 21 / 09/ :00 21 / 09/ :00 22/ 09/ :00 22/ 09/ :00 9/10/01 Instituto Universitario Aeronáutico 31

32 Conclusiones! Las universidades han intentado mantener ambientes abiertos! Los abusos y los ataques de negación del servicio han forzado a cerrar las redes para aprovechar el escaso ancho de banda disponible! Se generan elevados costos ocultos, debido a que los administradores deben trabajar en forma reactiva, después de la aparición de los problemas! Estos costos son sensiblemente inferiores en el caso de universidades que tienen redes cerradas 9/10/01 Instituto Universitario Aeronáutico 32

33 Conclusiones (cont.)! La abundancia de computadoras instaladas y administradas por usuarios inexpertos ocasiona serios problemas al sistema! Existen determinados problemas que no pueden solucionarse sin una configuración default deny. Una política de este tipo, sin embargo, puede encontrar serios obstáculos culturales! Es necesario elevar el grado de educación informática de los usuarios, a fin de permitir un uso eficiente de los recursos 9/10/01 Instituto Universitario Aeronáutico 33

34 Bibliografía! Chown, Read & DeRoure: The Use of Firewalls in an Academic Environment (Department of Electronics and Computer Science University of Suthampton) Northcutt & Novak: Network Intrusion Detection: An Analyst Handbook, 2E, New Riders! Northcutt, Cooper, Fearnow & Frederick: Intrusion Signatures and Analysis, 2001 New Riders! CIAC 2318 IRC on your dime! CIAC 2319 Distributed Denial of Service 9/10/01 Instituto Universitario Aeronáutico 34

35 Recursos en Línea! CERT Coordination Center: SANS Emergency Incident Handler: Computer Incident Advisory Capability Symantec Security Response Trend Micro: The Honeynet Project: 9/10/01 Instituto Universitario Aeronáutico 35