Seguridad en Servidores Mario Muñoz Organero Departamento de Ingeniería Telemática http://www.it.uc3m.es/mario Primera clasificación Podemos acercarnos al mundo de la seguridad separando dos entornos: Seguridad en equipos informáticos Seguridad en redes Estudiamos en este tema el primer punto y dejamos para el siguiente tema la seguridad en redes. Aplicaciones Avanzadas de Telemática 2
El escenario (I) Nuestros sistemas tienen un valor (recursos del sistema): Información Servicios Software Capacidad de proceso La seguridad intenta proteger los recursos del sistema frente a malos usos Implantación de medidas de seguridad Aplicaciones Avanzadas de Telemática 3 El escenario (II) La seguridad parte de la identificación de amenazas (theats): Hackers Virus o gusanos Estas amenazas pueden ser externas o internas Las amenazas se materializan en ataques al sistema La seguridad implementa medidas para protegerse frente a ataques. Aplicaciones Avanzadas de Telemática 4
El escenario (III) Cuando un ataque se materializa puede o no tener éxito. Un ataque exitoso puede causar un daño leve, medio o severo. Un riesgo es la combinación de 3 factores: Cuán probable (cuán fácil) es un ataque Qué probabilidad tiene un ataque de ser exitoso Qué daño se ocasiona tras el ataque Un análisis de riesgos identifica aquellos que resultan más importantes para nuestro sistema. Aplicaciones Avanzadas de Telemática 5 El escenario (IV) Los ataques tienen éxito porque nuestro sistema presenta vulnerabilidades. Cada servicio que ofrece nuestro sistema es inherentemente vulnerable. Regla de oro: correr sólo los servicios necesarios y con las opciones necesarias. Estudiar la seguridad de un sistema implica identificar las vulnerabilidades de los servicios ofrecidos. Aplicaciones Avanzadas de Telemática 6
Servicios típicos (I) Servicios de login telnet: 23/tcp FTP: 21/tcp NetBIOS: 139/tcp Ssh: 22/tcp r-commands: 512-514/tcp RPC/NFS Portmap/rpcbind: 111/tcp/udp NFS: 2049/tcp/udp lockd: 4045/tcp/udp NetBIOS: 135/tcp/udp, 137/udp, 138/udp, 139/tcp, 445/tcp/udp X-Windows: 6000-6255/tcp DNS: 53/udp, LDAP: 389/tcp/udp Aplicaciones Avanzadas de Telemática 7 Servicios típicos (II) Mail SMTP: 25/tcp POP: 109/tcp, 110/tcp IMAP: 143/tcp WWW HTTP: 80/ tcp SSL:443/tcp Time: 37/tcp/udp Varios TFTP: 69/udp finger: 79/tcp NNTP: 119/tcp NTP: 123/tcp LPD: 515/tcp syslog: 514/udp SNMP: 161/tcp/udp, 162/tcp/udp BGP: 179/tcp SOCKS: 1080/tcp ICMP Aplicaciones Avanzadas de Telemática 8
El hacker El hacker intenta buscar y a veces utilizar las vulnerabilidades de un sistema. Usando unas cuantas herramientas y una poca metodología busca información de su víctima y detecta vulnerabilidades. Vamos a ver la seguridad desde la visión de un hacker. Aplicaciones Avanzadas de Telemática 9 El equipo de trabajo de un hacker Software Un navegador. Un cliente telnet. Un cliente FTP. Una utilidad para hacer ping. Un scanner de la red. Una utilidad whois y cliente dns. Una utilidad traceroute. Un crackeador de passwords. Un scanner de CGIs Un scanner de Net BIOS. Un cliente finger. Compiladores. Programas de fuerza bruta. Trojanos, rootkits, Sniffers keyloggers. Aplicaciones Avanzadas de Telemática 10
Antes de atacar un sistema (I) Encontrar las direcciones IP de la red de la víctima. Encontrar información sobre la víctima (preguntando a servicios públicos en Internet): Servidores DNS Nombres de dominio Servidores de mail Números de teléfono Direcciones de mail Problemas financieros Adquisiciones Escándalos Aplicaciones Avanzadas de Telemática 11 Antes de atacar un sistema (II) Encontrar direcciones IP accesibles desde dónde se encuentra el hacker y qué servicios se ofrecen Encontrar información básica de los sistemas: Tipo y versión del sistema operativo Tablas de routing Interfaces de red Identificar potenciales vulnerabilidades Siempre intentar minimizar el rastro que se deja Aplicaciones Avanzadas de Telemática 12
El hacker paso a paso (I) Cambiar la dirección MAC SMAC o registro en Windows ifconfig Encontrar información de la Web Navegador + Google Wget (ftp://gnjilux.cc.fer.hr/pub/unix/util/wget/) Teleport Pro o Httrack finance.yahoo.com www.empresa.es Aplicaciones Avanzadas de Telemática 13 El hacker paso a paso (II) whois www.internic.net/whois.html Cliente whois : SamSpade WsPing Pro Netscan En Europe: www.ripe.net Obtenemos: Rango de direcciones IP Servidores DNS Números de teléfono y direcciones de mail Nombres de dominio Aplicaciones Avanzadas de Telemática 14
El hacker paso a paso (III) Queries DNS nslookup, dig SamSpade Scanning de la red Ping Netcrunch Netcat nc Netmap Ntop SNS & SSS Syhunt ntop Aplicaciones Avanzadas de Telemática 15 El hacker paso a paso (IV) Encontrando los equipos del camino Tracert Visualroute Buscando comunidades SNMP Netcrunch Networkview GFILAN Aplicaciones Avanzadas de Telemática 16
El hacker paso a paso (V) NetBios Herramientas de línea de comandos: net view /domain net user net account NBTscan SSS Userinfo Otras SMTP Encontrar usuarios con VRFN command Aplicaciones Avanzadas de Telemática 17 El hacker paso a paso (VI) Finger SamSpade Adivinando passwords: Using open ports: FTP, Telnet, SMB Brutus NetBios tools Una vez tenemos un usuario y contraseña válidas usar los servicios de login para entrar, otener el fichero de passwords y crackearlo: John the ripper NetCrunch L0phtcrack Cómo obtener el fichero de passwords?: ypcat passwd WINDOWS\system32\config\SAM Aplicaciones Avanzadas de Telemática 18
El hacker paso a paso (VII) Una vez dentro de la máquina de la víctima Usar sniffers para obtener más información Realizar ataques desde dentro de la red de la víctima Aplicaciones Avanzadas de Telemática 19 Ejemplo práctico Una vulnerabilidad típica del servicio de NIS es que cualquier usuario puede obtener el fichero de passwords: ypcat passwd Una vez obtenido se puede usar un crackeador romper las claves. Aplicaciones Avanzadas de Telemática 20
UNIX Password Scheme Aplicaciones Avanzadas de Telemática 21 UNIX Password Scheme Aplicaciones Avanzadas de Telemática 22