Seguridad de la Red

Juan Marcos TripoloneCisco Certified Networks Associate

Cisco Certified Entry Networking TechnicianInstructor CCNA

jmtripolone@isri.com.ar

Objetivos

Importancia | Consecuencia

Amenazas comunes

•Sombrero blanco: busca vulnerabilidades en los sistemas e informa a los propietarios. Son éticamente opuestos al abuso de los sistemas informáticos. Se concentra en proporcionar seguridad a los sistemas informáticos.

•Hacker: experto en programación. •Sombrero negro: utilizan su conocimiento de las redes o los sistemas

informáticos que no están autorizados a utilizar, generalmente para beneficio personal o económico. Un cracker es un ejemplo.

•Cracker: intenta obtener acceso no autorizado con intención maliciosa. •Phreaker: manipula la red telefónica para que realice una función que no está

permitida, tal como ingresar en la red telefónica, por lo general a través de un teléfono público, para realizar llamadas de larga distancia gratuitas.

•Spammer: persona que envía grandes cantidades de mensajes de correo electrónico no solicitado. Por lo genera, los spammers utilizan virus para tomar control de computadoras domésticas y utilizarlas para enviar sus mensajes masivos.

•Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas para que brinden información confidencial, como números de tarjetas de crédito o contraseñas. Un estafador se hace pasar por una persona de confianza que tendría una necesidad legítima de obtener información confidencial.

Pensar como un agresor

•Paso 1. análisis del perfil (reconocimiento). La página Web de una empresa puede conducir a información, como las direcciones IP de los servidores. Crear una imagen del perfil de seguridad o de la "huella" de la empresa.

•Paso 2. Enumerar los datos. Un agresor puede ampliar el perfil controlando el tráfico de la red con un programa detector de paquetes buscando información como los números de versión de los servidores FTP y de los servidores de correo. Una referencia cruzada con bases de datos de vulnerabilidades expone las aplicaciones de la empresa a explotaciones potenciales.

•Paso 3. Manipular a los usuarios para obtener acceso. Algunas veces, los empleados eligen contraseñas que se pueden descifrar fácilmente. En otros casos, los empleados pueden ser engañados por agresores talentosos para revelar información confidencial relacionada con el acceso.

•Paso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso básico, utilizan sus habilidades para aumentar los privilegios de la red.

•Paso 5. Con privilegios de acceso mejorados, los agresores utilizan su talento para obtener acceso a información confidencial bien protegida.

•Paso 6. Instalar virus de puerta trasera que proporcionan a los agresores una forma de ingresar al sistema sin ser detectados.

•Paso 7. Potenciar el sistema comprometido. Llevar a cabo ataques en otros hosts.

Amenazas en números

Delitos informáticos

•Abuso del acceso a la red por parte de personas de la organización•Virus•Robo de dispositivos portátiles•Suplantación de identidad: organización representada de manera fraudulenta•Uso indebido de la mensajería instantánea•Denegación de servicio•Acceso no autorizado a la información•Bots dentro de la organización•Robo de información de los clientes o de los empleados•Abuso de la red inalámbrica•Penetración en el sistema•Fraude financiero•Detección de contraseñas•Registro de claves•Alteración de sitios Web•Uso indebido de una aplicación Web pública•Robo de información patentada•Explotación del servidor DNS de una organización•Fraude en las telecomunicaciones

Redes abiertas versus redes cerradas

•Necesidades:

–Mantener las redes abiertas para respaldar los requisitos comerciales en evolución.

–Proteger la información comercial privada, personal y estratégica.

•Los modelos de seguridad de la red siguen una escala progresiva

–“Abierto": se otorga permiso a cualquier servicio, a menos que esté expresamente denegado,

–“Restrictivo": se deniega permiso a servicios de forma predeterminada, a menos que sean considerados necesarios.

Equilibrio

Abierto

Restrictivo

Cerrado

Política de seguridad | Objetivos

•Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios para proteger los bienes de tecnología e información

•Especificar los mecanismos a través de los cuales se pueden cumplir estos requisitos

•Proporcionar una línea de base a partir de la que se pueda adquirir, configurar y auditar redes y sistemas informáticos para que cumplan la política

ISO/IEC 27002•Evaluación de riesgos•Política de seguridad•Organización de la seguridad de la información

•Administración de activos•Seguridad de los recursos humanos•Seguridad física y ambiental

•Administración de las comunicaciones y operaciones•Control de acceso•Adquisición, desarrollo y mantenimiento de los sistemas

informáticos

•Administración de incidentes de seguridad de la información•Administración para la continuidad de la empresa•Cumplimiento

Amenazas

Amenazas

Amenazas

Amenazas a la infraestructura física

•Amenazas al hardware: daño físico a los servidores, routers, switches, planta de cableado y estaciones de

trabajo

•Amenazas ambientales: temperaturas extremas (calor o frío extremos) o condiciones extremas de

humedad (humedad o sequedad extremas)

•Amenazas eléctricas: picos de voltaje, voltaje suministrado insuficiente (apagones), alimentación

ilimitada (ruido) y pérdida total de alimentación

•Amenazas al mantenimiento: manejo deficiente de los componentes eléctricos clave (descarga

electrostática), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto.

Amenazas físicas

Amenazas físicas

Amenazas físicas

Amenazas físicas

Mitigación física:

•Mitigación de amenazas al hardware

•Mitigación de amenazas ambientales

•Mitigación de amenazas eléctricas

Mitigación de amenazas al hardware

•Cerrar armario de cableado•Sólo personal autorizado•Control de acceso electrónico•Cámaras de seguridad

Mitigación de amenazas ambientales

•Control de temperatura•Control de humedad•Tecnología antiflama•Control de flujo de aire•Alarmas ambientales remotas

Mitigación de amenazas eléctricas

•UPS•Generadores•Corriente estabilizada•Disyuntor•Trifásica•Térmicas

Mitigación de amenazas al mantenimiento

•Tendidos de cables limpios•Rotulación•Descarga electrostática•Provisión de repuestos fundamentales•Control de acceso a puertos consola

Amenazas a las redes

Amenazas no estructuradas

•Personas sin experiencia que usan herramientas de piratería informática de fácil acceso (lamers)

•Secuencias de comandos de shell

•Crackers de contraseñas

Amenazas estructuradas

•Provienen de personas o grupos que tienen una mayor motivación y son más competentes técnicamente.

•Conocen las vulnerabilidades del sistema y utilizan técnicas de piratería informática sofisticadas para introducirse en las empresas confiadas.

•Ingresan en computadoras de empresas y del gobierno para cometer fraude, destruir o alterar registros o, simplemente, para crear confusión.

•Están involucrados en los principales casos de fraude y robo denunciados en los organismos de aplicación de la ley.

•Utilizan tácticas de piratería informática tan complejas y sofisticadas que sólo los investigadores especialmente capacitados entienden lo que

está ocurriendo.•En 1995, Kevin Mitnick fue condenado por ingresar a computadoras de

distintos estados de los Estados Unidos con fines delictivos. Ingresaba en la base de datos del Departamento del Automotor de California,

rutinariamente tomaba control de los hubs de conmutación telefónica de Nueva York y California y robaba números de tarjetas de crédito. Lo

inspiró la película "Juegos de guerra" del año 1983.

Amenazas externas

•Pueden provenir de personas u organizaciones que trabajan fuera de una empresa y que no tienen acceso autorizado a los sistemas

informáticos ni a la red.

•Ingresan a una red principalmente desde Internet o desde servidores de acceso telefónico.

•Pueden tener distintos grados de gravedad según la experiencia del agresor, ya sea aficionado (no estructurado) o experto (estructurado).

Amenazas internas

•Provocadas por una persona que tiene acceso autorizado a la red.

•La gravedad depende de la experiencia del agresor.

Ingeniería social

Engañar al individuo para obtener info

Tipos de ataques

Reconocimiento

Acceso

DoS

Malware

Ataques de reconocimiento

•Consultas de información en Internet•Barridos de ping•Escaneos de puertos•Programas detectores de paquetes

Whois

Nmap

PortScan

Analizador de paquetes

¿Por qué se infiltran?

•Recopilación de información: los intrusos de la red pueden identificar nombres de usuarios, contraseñas o información que se

transportan en un paquete.

•Robo de información: puede concretarse mientras los datos se transmiten a través de la red interna o externa. El intruso de la red

también puede robar datos de computadoras en red obteniendo acceso no autorizado. Entre los ejemplos, se encuentran ingresar o

infiltrarse en instituciones financieras y obtener números de tarjetas de crédito.

Contrarestando infiltración

•Uso de redes conmutadas en lugar de hubs para que el tráfico no se transmita a todos los extremos o hosts de la red.

•Uso de encriptación que cumpla las necesidades de seguridad de los datos de la organización, sin imponer una carga excesiva en los

usuarios o los recursos del sistema.

•Implementación y aplicación de una directiva de política que prohíba el uso de protocolos con conocida susceptibilidad a la infiltración.

Por ejemplo, el SNMP versión 3 puede encriptar cadenas comunitarias, de manera que una empresa podría prohibir el uso de

SNMP versión 1, pero permitir SNMP versión 3.

Acceso

Explotación de confianza

•Compromete un host de confianza, mediante su uso, con el fin de llevar a cabo ataques en otros hosts de una red. Si un host de una red de una

empresa está protegido por un firewall (host interno), pero un host de confianza que se encuentra afuera del firewall (host externo) puede

obtener acceso a él, el host interno puede ser atacado a través del host externo de confianza.

•Los ataques basados en la explotación de confianza pueden ser mitigados a través de restricciones estrictas en los niveles de confianza

dentro de una red, por ejemplo, las VLAN privadas pueden ser implementadas en segmentos de servidores públicos en los que hay

varios servidores públicos disponibles.

•Los sistemas que se encuentran dentro de un firewall no pueden confiar en absoluto en los sistemas que se encuentran afuera.

•Dicha confianza debe limitarse a protocolos específicos y debe ser autenticada por algo más que una dirección IP, siempre que sea

posible.

Explotación de confianza

Ataques a las contraseñas

•Para llevar a cabo un ataque de diccionario o fuerza bruta, los agresores pueden utilizar herramientas, como L0phtCrack o Cain.

Estos programas intentan conectarse reiteradamente como usuario mediante el uso de palabras incluidas en un diccionario.

•Otro método utiliza tablas arco iris, una serie precalculada de contraseñas que se forma creando cadenas de posibles contraseñas

de texto sin cifrar.

•Cada cadena se crea a partir de una "conjetura" seleccionada al azar de la contraseña de texto sin cifrar y, a continuación, se aplican

variaciones de ésta. El software de ataque aplica las contraseñas de la tabla de arco iris hasta resolver la contraseña. Para llevar a cabo un

ataque con tabla de arco iris, los agresores pueden utilizar una herramienta, por ejemplo, L0phtCrack.

Reorientación de puertos

Redirección de puertos

•Un ataque de redirección de puertos es un tipo de ataque de explotación de confianza que utiliza un host comprometido para pasar

tráfico a través de un firewall que, de lo contrario, estaría bloqueado.

•Supongamos un firewall con tres interfaces y un host en cada interfaz. El host externo puede llegar al host que se encuentra en el segmento

de servicios públicos, pero no al host interno. Este segmento de acceso público, normalmente, se conoce como zona desmilitarizada

(DMZ). •Si los agresores pudieran comprometer el host que se encuentra en el

segmento de servicios públicos, podrían instalar software para redirigir el tráfico desde el host externo directamente al interno. El host externo

ha logrado conectarse con el host interno a través del proceso de redirección de puertos del host de servicios públicos. Una utilidad que

puede proporcionar este tipo de acceso es netcat.•La redirección de puertos puede ser mitigada principalmente mediante

el uso de modelos de confianza adecuados, específicos para la red. Cuando un sistema es atacado, un sistema de detección de intrusión

(IDS) basado en hosts puede ayudar a detectar a un agresor e impedir la instalación de dichas utilidades en un host.

Man in the middle

MTM•1. Cuando una víctima solicita una página Web, el host de la víctima

realiza la solicitud al host del agresor.

•2. El host del agresor recibe la solicitud y busca la página verdadera en el sitio Web legítimo.

•3. El agresor puede modificar la página Web legítima y aplicar las transformaciones a los datos que deseen realizar.

•4. El agresor envía la página solicitada a la víctima.

•Si los agresores logran colocarse en una posición estratégica, pueden robar información, apropiarse de una sesión en curso para obtener

acceso a recursos de redes privadas, llevar a cabo ataques de DoS, dañar los datos transmitidos o introducir nuevos datos en las sesiones de

la red.

•La mitigación de los ataques MITM de la WAN se logra utilizando túneles VPN, lo que permite que el agresor vea sólo el texto encriptado,

indescifrable. Los ataques MITM de la WAN utilizan herramientas tales como ettercap y envenenamiento ARP. Por lo general, la mayor parte de la mitigación de ataques MITM de la LAN se puede reducir configurando

la seguridad de los puertos de los switches de la LAN.

Ataques de DDoS

Ping of death

DoS•Bombas de correo electrónico: los

programas envían mensajes de correo electrónico masivo a personas,

listas o dominios, y monopolizan los servicios de correo electrónico.

•Applets maliciosos: son los programas Java, JavaScript o ActiveX

que destruyen o paralizan los recursos informáticos.

Componentes DoS•Cliente que habitualmente es una persona que lanza el

ataque.

•Manipulador es un host comprometido que está ejecutando el programa del agresor y cada Manipulador

es capaz de controlar varios Agentes

•Agente es un host comprometido que ejecuta el programa del agresor y es responsable de generar un

flujo de paquetes que se dirige hacia la víctima deseada.

Ataques DDoS: Actores

Ataques DDoS

•Ataque SMURF•Red de saturación grupal (TFN)•Stacheldraht•MyDoom

SMURF

SMURF

•Mensajes ping de broadcast suplantados para saturar un sistema objetivo.

•Un agresor envía una gran cantidad de peticiones de eco ICMP a la dirección de broadcast de la red desde direcciones IP de origen

suplantadas válidas.

•Un router podría ejecutar la función broadcast de Capa 3 a broadcast de Capa 2, la mayoría de los hosts responde uno por uno con una

respuesta de eco ICMP, lo cual multiplica el tráfico por la cantidad de hosts que respondan.

•En una red multiacceso de broadcast, potencialmente podría haber cientos de máquinas que contesten a cada paquete de eco.

Saturación SYN

Códigos maliciosos

•Un gusano ejecuta un código e instala copias de sí mismo en la memoria de la computadora infectada, lo que, a su vez, puede infectar a otros

hosts.

•Un virus es software malicioso asociado a otro programa, con el propósito de ejecutar una función particular no deseada en una estación

de trabajo.

•Un caballo de Troya es distinto de un gusano o de un virus sólo en el sentido de que toda la aplicación fue escrita para que tenga la apariencia

de otr

Asegurando dispositivos

•Los nombres de usuario y las contraseñas predeterminados deben cambiarse de inmediato.

•Se debe restringir el acceso a los recursos del sistema exclusivamente a las personas autorizadas para utilizar

esos recursos.

•Se deben desconectar y desinstalar los servicios y las aplicaciones innecesarios, siempre que sea posible.

IDS

Dispositivos de seguridad

Rueda de seguridad

Paso 1: Asegurar

•Defensa contra amenazas

•Inspección con estado y filtrado de paquetes: filtre el tráfico de la red para permitir solamente tráfico y

servicios válidos.

Inspección con estado

•Sistemas de prevención de intrusión: impleméntelos a nivel de la red y del host para detener el tráfico malicioso

en forma activa. •Parches para vulnerabilidades: aplique modificaciones

o medidas para detener la explotación de las vulnerabilidades conocidas.

•Desactivación de los servicios innecesarios: cuanto menor sea la cantidad de servicios activados, más difícil

será para los agresores obtener acceso.

Conectividad segura•VPN: encripte el tráfico de la red para impedir la divulgación no

deseada a personas no autorizadas o maliciosas. •Confianza e identidad: implemente restricciones estrictas sobre

los niveles de confianza dentro de una red. Por ejemplo, los sistemas que se encuentran dentro de un firewall no pueden

confiar completamente en los sistemas que se encuentran fuera de un firewall.

•Autenticación: proporcione acceso sólo a los usuarios autorizados. Un ejemplo de esto es el uso de contraseñas que se

pueden utilizar por única vez.

•Cumplimiento de políticas: asegúrese de que los usuarios y los dispositivos finales cumplan con la política de la empresa.

Paso 2: Controlar

•Controlar la seguridad involucra métodos activos y pasivos de detectar violaciones de seguridad. El método activo más utilizado es la auditoría de los archivos de registro a nivel del host. La mayoría de los sistemas

operativos incluyen la función de auditoría. Los administradores de sistemas deben activar el sistema de auditoría para cada uno de los

hosts de la red y tomarse el tiempo necesario para controlar e interpretar las entradas de los archivos de registro.

•Entre los métodos pasivos se encuentra el uso de dispositivos IDS para detectar intrusiones automáticamente. Este método requiere menos

atención por parte de los administradores de seguridad de la red que los métodos activos. Estos sistemas pueden detectar violaciones a la

seguridad en tiempo real y se pueden configurar para responder automáticamente antes de que un intruso provoque daños.

•Un beneficio adicional del control de la red es la verificación de que las medidas de seguridad implementadas en el paso 1 de la Rueda de

seguridad se hayan configurado y estén funcionando correctamente.

Paso 3: Probar •En la fase de pruebas de la Rueda de seguridad, las

medidas de seguridad se someten a pruebas de manera proactiva.

•Se verifica la funcionalidad de las soluciones de seguridad implementadas en el paso 1 y los métodos de

auditoría y detección de intrusión del sistema implementados en el paso 2.

•Las herramientas de evaluación de las vulnerabilidades, como SATAN, Nessus o Nmap son útiles para probar las

medidas de seguridad de la red periódicamente a nivel de la red o del host.

Paso 4: Mejorar

•La fase de mejoras de la Rueda de seguridad implica el análisis de los datos recopilados durante las fases de control y de prueba.

•Este análisis contribuye al desarrollo y a la implementación de mecanismos de mejoras que intensifican la política de seguridad y

tiene como consecuencia la adición de ítems al paso 1. Para mantener una red lo más segura posible, el ciclo de la Rueda de

seguridad debe repetirse continuamente, porque todos los días aparecen nuevas vulnerabilidades y riesgos en la red.

Política de seguridad

Funciones de una política de seguridad

•Protege a las personas y a la información

•Establece las normas de comportamiento esperado de los usuarios, de los administradores de sistemas, de la dirección y del

personal de seguridad

•Autoriza al personal de seguridad a realizar controles, sondeos e investigaciones

•Define y autoriza las consecuencias de las violaciones

Políticas: Componentes

Fin

Preguntas?

Muchas Gracias.-Juan Marcos Tripolone

Cisco Certified Networks AssociateCisco Certified Entry Networking Technician

Instructor CCNAjmtripolone@isri.com.ar