Seguridad servicios comunicaciones

SEGURIDAD INFORMÁTICA EN REDES DE ORDENADORES

Manuel Fernández IglesiasXabiel García Pañeda

Índice

� Tema 1: Introducción a la seguridad informática en redes de ordenadores� Tema 2: Anatomía de un ataque a un sistema informático� Tema 3: Vulnerabilidades de un sistema informático� Tema 4: Políticas de seguridad� Tema 5: Criptografía� Tema 6: Protocolos de seguridad� Tema 7: Seguridad perimetral� Tema 8: Legislación sobre seguridad� Tema 9: Sistemas biométricos� Tema 10: Firewalls� Tema 11: Sistemas de detección de intrusiones� Tema 12: Sistemas de gestión de la indentidad� Tema 13: Seguridad en entornos inalámbricos� Tema 14: Informática forense

Bibliografía

� Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004

� Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004

� Seguridad en Redes y Sistemas Informáticos. José M. HuidobroMoya, David Roldán Martínez. Paraninfo. 2005

� Seguridad y Protección de la Información. José Luis Morant, Arturo Ribagorda, Justo Sancho. Editorial Centro de Estudios Ramón Areces, S.A. 1994

� Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003� Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998� Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador

Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005� Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003

Bibliografía

� Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001

� Active Defense. Chris Breton, Cameron Hunt. SYBEX. 1999� Inside Network Perimeter Security. Stephen Northcutt, Lenny

Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003

� Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003

� Computer Forensics. Computer Crime Scene Investigation. John R. Vacca. Thomson. 2005

� Internet Forensics. Robert Jones. O’Reilly. 2005� Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W.

Rose. Addison-Wesley. 2006� File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005� Forensics Discovery. Dan Farmer, Wietse Venema. Addison-

Wesley. 2004

Tema 1: Introducción a la seguridad informática en redes de ordenadores


Introducción

Detenidas 23 personas que estafaron más de dos millones de euros usando virus informáticos

Un grupo internacional de delincuentes que habría estafadohasta dos millones de euros a través de Internet ha sidodesarticulado por la Policía Nacional. El grupo, formado porpersonas de varias nacionalidades, lograba claves y contraseñas de sus víctimas con la ayuda de un 'troyano', y luego las utilizaban para obtener dinero.

http://www.elpais.com/articulo/internet/Detenidas/23/personas/estafaron/millones/euros/usando/virus/informaticos/elpeputec/20060914elpepunet_2/Tes

Introducción

Un virus poco virulento se cuela en los SMS de dos operadoras

Eliles-A, un gusano masivo posiblemente creado por españoles, ha estado enviando mensajes SMS a clientes de Movistar y Vodafone con móviles que funcionen con el sistema operativo Symbian en lasúltimas semanas, según la empresa McAfee. Los mensajes instabana los clientes de estas operadoras a descargar un antivirus gratuito, que en realidad era un virus. Es lo que se llama SMiShing o el phishing trasladado a los mensajes SMS, cada vez más de actualidad: el defraudador envía mensajes SMS con una excusasugerente, para convencer al usuario de que descargue un archivo o visite una página web, donde se le darán cosas gratuitas y otrastretas parecidas.

Introducción

Cuando este descarga el archivo, resulta ser un virus. O, si visita la web, le instalan subrepticiamenteun código malicioso. Eliles-A se propagaba porcorreo electrónico, simulando proceder de alguien quepedía trabajo y adjuntaba su currículum. Quien lo abría, se infectaba con el gusano, que usaba el ordenador para enviar mensajes SMS a númerosaleatorios de Movistar y Vodafone, usando laspasarelas Internet-SMS de ambas operadoras.

http://www.elpais.com/articulo/red/virus/poco/virul ento/cuela/SMS/operadoras/elpeputec/20060914elpcibe nr_2/Tes

Introducción

¿Qué es seguridad?

� La seguridad absoluta es indemostrable. Se habla de fiabilidad.

� Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability):� Confidencialidad: Sólo pueden acceder a los recursos de un

sistema los agentes autorizados.� Integridad: Los recursos del sistema sólo pueden ser

modificados por los agentes autorizados.� Disponibilidad: Los recursos del sistema tienen que estar a

disposición de los agentes autorizados (contrario: denegación de servicio).

¿Qué queremos proteger?

� Los recursos del sistema� Hardware� Software� Datos

� Tipos de ataque a los recursos:� Interrupción: el recurso queda inutilizable o no disponible� Interceptación: captura de un recurso o acceso al mismo� Modificación o destrucción: Interceptación y manipulación del

recurso� Fabricación: generación de recursos similares a los atacados

¿De qué nos queremos proteger?

� De todos aquellos agentes que puedan atacar a nuestros recursos� Personas: empleados, ex-empleados, curiosos,

piratas, terroristas, intrusos remunerados� Amenazas lógicas: software defectuoso,

herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami.

� Catástrofes

Algunos ejemplos

� Un ex-empleado se cuela en nuestra empresa después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó

� Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento

� Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave sin darse cuenta. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa

¿Cómo nos podemos proteger?

1. Análisis de amenazas2. Evaluación de (posibles) pérdidas y su probabilidad3. Definición de una política de seguridad4. Implementación de la política: mecanismos de

seguridad- De prevención: durante el funcionamiento normal del sistema- De detección: mientras se produce un intento de ataque- De recuperación: tras un ataque, para retornar a un

funcionamiento correcto: Análisis forense

Vulnerabilidad

La vulnerabilidad de una organización depende de:� El grado de publicidad de la organización� El coste de los ataques� La exposición de la organización a los ataques externos� La exposición de la organización ante ataques internos, o ante la

facilitación de servicios (involuntaria o consciente) desde el interior

En definitiva, depende de la:� Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o

destruir información?� Confianza: ¿En qué medida se puede contar con los usuarios?

Amenazas

Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos.

� ¿Los malos van a tratar de actuar sobre mi sistema?� ¿Puede ocurrir que elementos no deseados accedan (leyendo o

modificando) información importante para mi organización?� ¿Puede ocurrir que la reputación de mi organización se vea

comprometida?

Amenazas: Más peligrosas y más fáciles de usar

Packet Forging/ Spoofing

Sofisticación de las herramientas de Hacking

19901980

Password Guessing

Self Replicating Code

Password Cracking

Exploiting Known Vulnerabilities

Disabling Audits

Back Doors

Hijacking Sessions

Sweepers

Sniffers

Stealth Diagnostics

Conocimiento técnico requerido

Alto

Bajo 2000

DDOS

Juan Laje – Cisco Systems

Tipos de amenazas

� Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo

� Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas...

� Utilización de la información para usos no previstos. Puede venir del exterior o del interior

� Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad

� Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios...

� Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización

Algunos ejemplos de amenazas lógicas

� Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huesped)

� Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus

� Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas

� Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema

� Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta

� Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing”

� Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización

Estadísticas de la amenaza

� Fuente: Estudio del CSI/FBI de 2001�94% detectaron virus�91% detectaron uso abusivo de la red�40% detectaron penetración en sistemas�36% detectaron ataques de DOS

�www.gocsi.com


� El crimen computarizado no desciende� 35% (186 encuestados) estaban dispuestos a (o

podían) cuantificar pérdidas�Sobre 400 millones de euros en pérdidas financieras�En contraste, en el 2000, 249 encuestados comunicaron unos 300 millones en pérdidas

� 1997-2001 pérdidas totales = más de 1.000.000.000 de euros

�www.gocsi.com


� Honeynet Project (project.honeynet.org)�Grupo de investigación dedicado a aprender las herramientas, tácticas y motivaciones de la comunidad de hackers y a compartir las lecciones aprendidas�Enfoque en dos áreas:

�Medir la agresividad de la comunidad de hackers�Evaluar el concepto de Alerta y Predicción Temprana

� Sección española (www.honeynet.org.es/es/)


� Montan honeypots y honeynets� Fáciles de atacar� Parecen reales� Bloquean

comunicaciones exteriores

� Monitorizan el sistema� Estudian el

comportamiento de los atacantes


� Honeynet Project�Analizando el pasado ...

�Los resultados asustan (1 servidor comprometido a los 15 minutos de estar en la Internet)�La comunidad de hackers es MUY agresiva�No se hicieron intentos de anunciar los “éxitos”

�Prediciendo el futuro�Análisis estadístico de meses de actividad

Propagación del Code Red19 de Julio, Media Noche - 159 Hosts Infectados

Propagación del Code Red19 de Julio, 11:40 am - 4,920 Hosts Infectados

Propagación del Code Red20 de Julio, Media Noche - 341,015 Hosts Infectados

Ejemplos de signos de ataque

� El sistema se para� Discrepancias en la información sobre las cuentas (p. ej.

/usr/admin/lastlog disminuye a veces)� Intentos de escritura en los ficheros del sistema� Algunos ficheros desaparecen� Denegación de servicio (el sistema pasa a monousuario,

y ni siquiera el administrador puede entrar)� Las prestaciones del sistema son inexplicablemente

bajas� Sondas sospechosas (logins incorrectos repetidos

desde otro nodo).

Ejemplos de signos de ataque

� Logins desde lugares o a horas no habituales� Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.)� Cambios en los ficheros de claves, listas de grupos, etc.� Cambios en ficheros de configuración del sistema, en bibliotecas,

en ejecutables, etc.� Cambios en los datos: páginas WWW, servidores FTP, applets,

plugIns, etc.� Herramientas dejadas atrás por el atacante: Caballos de Troya,

Sniffers, etc.� Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail)

no justificables� Interfaces de red en modo promiscuo

Ejemplos de agujeros en la seguridad

� Claves fáciles de adivinar, o claves por defecto� Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de

grupo� Servicios no seguros mal configurados (tftp, sendmail, ftp)� Servicios no seguros e inútiles (finger, rusers, rsh)� Ficheros de configuración de la red o del acceso no seguros

(entradas + en configuración NIS)� Consolas inseguras� Protección de acceso y propiedad de ficheros sensibles mal

configurada.� Versiones no actualizadas del sistema operativo.� Conexiones telefónicas inseguras� Política de copias de seguridad inexistente o mal diseñada.

Contramedidas

� Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos:� Estática (username/password)� Robusta (claves de un solo uso, firmas electrónicas)� Continua (firmas electrónicas aplicadas a todo el contenido de la

sesión)� Control de la adquisición y actualización del software.

Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias

� Cifrado. Proporciona confidencialidad, autenticidad e integridad

� Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc.

Contramedidas

� Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc.

� Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc.

� Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.

Tema 2: Anatomía de un ataque a un sistema informático


Clasificación

� Según el origen:� Externo. Realizados desde el exterior del sistema � Interno. Realizados desde el interior del sistema

� Según la complejidad:� No estructurado. No coordinan diferentes

herramientas o fases. Suelen ser inocentes � Estructurado. Se enfocan como un proyecto. Tienen

diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos

Anatomía de un ataque

Búsqueda

Rastreo

Enumeración

Acceso

Obtención de privilegios

Pilfering

Borrandolas huellas

Puertastraseras

Denegaciónde servicio

Anatomía de un ataque.Búsqueda

� Objetivo� Recogida de información, ingeniería social,

selección de rangos de direcciones y espacios de nombres

� Técnicas� Búsquedas en información pública

(Altavista con directivas link: o host:)� Interfaz web a whois� ARIN whois� DNS zone transfer (nslookup)� Reconocimiento de redes (traceroute)

Anatomía de un ataque.Búsqueda

� Contramedidas� Control del contenido de la

información pública� Precaución con la información de

registro� Seguridad en DNS (p. ej. no permitir

las transferencias de zona)� Instalación de sistemas de

detección de intrusiones (NIDS)

Anatomía de un ataque.Rastreo (scanning, barrido)

� Objetivo� Identificación de equipos y servicios.� Selección de los puntos de entrada más

prometedores� Técnicas

� Ping sweep (fping, nmap)� Consultas ICMP (icmpquery)� TCP/UDP port scan (Strobe, udp-scan,

netcat, nmap, SuperScan, WinScan, etc.)� Detección del sistema operativo (nmap,

queso)� Herramientas de descubrimiento automático

(Chaos)

Anatomía de un ataque.Rastreo

� Contramedidas� Herramientas de detección de ping

(Scanlogd, Courtney, Ippl, Protolog)� Configuración adecuada de los

routers de frontera (access lists)� Cortafuegos personales,

herramientas de detección de rastreo (BlackICE, ZoneAlarm)

� Desconectar servicios inútiles o peligrosos

Anatomía de un ataque.Enumeración

� Objetivo� Descubrir cuentas de usuario válidas y recursos

compartidos mal protegidos� Técnicas

� Listados de cuentas (finger)� Listados de ficheros compartidos (showmount,

enumeración NetBIOS)� Identificación de aplicaciones (banners, rpcinfo,

rpcdump, etc.)� NT Resource Kit

� Contramedidas� Las del rastreo� Control del Software� Formación de los usuarios

Anatomía de un ataque.Acceso

� Objetivo� Ya disponemos de información suficiente

para intentar un acceso documentado al sistema

� Técnicas� Robo de passwords (eavesdroping) y

crackeado de passwords (Crack, John theRipper)

� Forzado de recursos compartidos� Obtención del fichero de passwords� Troyanos y puertas traseras (BackOrifice,

NetBus, SubSeven)� Ingeniería social

Anatomía de un ataque.Acceso

� Contramedidas� Control de las actualizaciones del

software� Control en la instalación o ejecución

de aplicaciones� Cortafuegos personales, detección

de intrusiones� Educación de los usuarios

(selección de buenas passwords)� Auditoría e históricos

Anatomía de un ataque.Obtención de privilegios

� Objetivo� Obtener permisos de administrador a partir

de los permisos de usuario

� Técnicas� Vulnerabilidades conocidas� Desbordamiento de buffers, errores en el

formato de cadenas, ataques de validación de entradas

� Capturadores de teclado� Las del acceso

� Contramedidas� Las del acceso

Anatomía de un ataque.Pilfering

� Objetivo� Nueva búsqueda de información para

atacar a otros sistemas de confianza

� Técnicas� Evaluación del nivel de confianza (rhosts,

secretos LSA)� Búsqueda de passwords en claro (bases de

datos, servicios Web)

� Contramedidas� Las del acceso� Herramientas de monitorización de red� Actuaciones en el nivel de arquitectura

Anatomía de un ataque.Borrando las huellas

� Objetivo� Una vez que se tiene el control total del

sistema, ocultar el hecho al administrador legitimo del sistema

� Técnicas� Limpieza de logs� Ocultación de herramientas� Troyanos y puertas traseras

� Contramedidas� Gestión de históricos y monitorización, a

nivel de red y a nivel de host.� Control del SW instalado

Anatomía de un ataque.Creación de puertas traseras

� Objetivo� Permiten a un intruso volver a entrar en un

sistema sin ser detectado, de la manera más rápida y con el menor impacto posible

� Técnicas� Cuentas de usuario ficticias, robadas o inactivas� Trabajos batch� Ficheros de arranque infectados, librerías o

núcleos modificados� Servicios de control remoto y caballos de Troya

(Back Orifice)� Servicios de red inseguros (sendmail, rhosts,

login, telnetd, cronjob)� Ocultación del tráfico de red y ocultación de

procesos

Anatomía de un ataque.Creación de puertas traseras

� Contramedidas� Básicamente, las del acceso

(control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.)

� Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras).

Anatomía de un ataque.Denegación de servicio

� Objetivo� Si no se consigue el acceso, el atacante

puede intentar deshabilitar el objetivo

� Técnicas� Inundación de SYNs� Técnicas ICMP� Opciones TCP fuera de banda (OOB)� SYN Requests con fuente/destino idénticos

� Contramedidas� Configuración cuidadosa de los cortafuegos

y routers.

Ejemplo de ataque: DDOS

� Ataque por denegación de servicio distribuido (DDOS)

Máquina origen

Zombi

Máquina objetivo

Ejemplo de ataque: DDOS

� Muy eficaz. Deja rápidamente a la máquina fuera de combate

� Difícil de parar. Si los zombis están bien elegidos estarán en diferentes subredes. Serácomplicado cortar el flujo de tráfico

� No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo

Ejemplo de ataque: Inserción de código SQL

� Formulario Web donde se solicita nombre de usuario y clave

� En el servidor se utilizan los datos para rellenar la consulta SQL:

� Se introduce en el formulario:

SELECT user_id FROM users WHERE strlogin=‘xuan’ AND st rpassword=‘aab’

usuario clave

Usuario: cualquier cosaClave: “ OR 1=1 --

Clave: “ OR 1=1; DROP table users; --

Ejemplo de ataque: Inserción de código SQL

� Se accede a la información del sistema� En un principio a los nombres de usuario y sus claves

(codificadas, supuestamente)

� Se puede eliminar información del sistema� Sería necesario conocer el nombre de las tablas� SELECT * FROM PG_CLASS� SELECT relname FROM PG_CLASS

� Ataca al elemento más valioso de un sistema: LA INFORMACIÓN

Ejemplo de ataque: Fishing bancario

� Basado en la idea del CazaBobos� Se rastean páginas Web localizando direcciones de

correo� Se hace un mailing a dichas direcciones

� Se disfraza la página Web haciendo parecer la de un banco� Se solicita entrar una dirección para solucionar un posible

problema de seguridad (algo que llame la atención al usuario para que acceda)

� Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante


Dirección real: http://rumager.com/...Dirección diferenteProtocolo no seguro


� Entramos en la página

� Nos pide el nombre de usuario y la contraseña del supuesto banco

� La introducimos� No informa que el problema ha sido solucionado� !TIENEN NUESTRO NOMBRE DE USUARIO Y

NUESTRA CONTRASEÑA!

Ejemplo de ataque: IP Spoofing

� Se suplanta la personalidad de un equipo� Es un ataque muy sofisticado

SuplantadorIP: 156.35.14.2

SuplantadoIP: 156.35.14.2

Se modifican las rutas

Denegación de servicio

Ejemplo de ataque: IP Spoofing

� Es necesario atacar a muchas máquinas� Consigue que el receptor de los mensajes

se crea que es el emisor legítimo� Puede ser extremadamente peligroso

Ejemplo de ataque: Mitnick/Shimomura

� Compañeros en el National Security Agency� Mitnick estuvo extrayendo información del

ordenador de Shimomura durante meses� Existieron una serie de premisas:

� Mitnick, mediante ingeniería social obtuvo direcciones IP de ordenadores de colaboradores de Shimomura. Direcciones en las que confiaba el ordenador de la víctima

� El atacante intentó abrir varias sesiones TCP con la victima para determinar como se elegía el número de secuencia cada vez. Se incrementaba en 128000

� El atacante sabía que Shimomura utlizaba UNIX y tenía activados los comandos remotos de Berkeley


� Pasos:1. El atacante entía un TCP SYMM flood a un equipo,

llamémosle A, en el que confía la víctima2. El atacante envía un paquete, con suplantación de

dirección IP fuente a la víctima pretendiendo ser A. Son el bit SYN habilitado. Paso inicial de conexión en TCP

3. La víctima contesta con un paquete SYM, ACK. A no recibe el paquete. El atacante que no recibe tampoco este paquete debe conocer el número de secuencia


� Pasos:4. El atacante simula el mensaje 3 de creación de la

sesión TCP5. Por la conexión TCP envía comando para que

añada una entrada comodín (‘++’) al fichero ./rhost. El ordenador de Shimomura comienza a confiar en cualquiera

6. El atacante envía un mensaje TCP con el bit de RST (reset) activado para cortar la conexión

Tema 3: Vulnerabilidades de un sistema informático


Las 14 vulnerabilidades más importantes

ServidorDMZ

CortafuegosRouterfrontera

RouterInterno

ServidorAccesoRemoto

LANinterna

LANinterna

Servidor

EstaciónTrabajo

ServidorEstaciónTrabajo

UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

10

1111

1213

14


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

2

3

4

5

6

7

8

9

10

1111

1213

14

1:

Control de acceso al router inadecuado:ACLs mal configuradas en el router puedenpermitir la fuga de información a través depaquetes ICMP, IP o NetBIOS, y facilitar elacceso no autorizado a servicios dentro de lazona desmilitarizada.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

3

4

5

6

7

8

9

10

1111

1213

142:

Los puntos de acceso remoto no seguros y nomonitorizados proporcionan una de lasmaneras más sencillas de acceder a una redcorporativa. Los usuarios remotos se suelenconectar a Internet con pocas protecciones,exponiendo al ataque información sensible


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

4

5

6

7

8

9

10

1111

1213

14

3:

La información disponible puede proporcionarinformación sobre el sistema operativo,versiones de las aplicaciones, usuarios,grupos, recursos compartidos, informaciónDNS (transferencias de zonas), y serviciosabiertos como SNMP, finger, SMTP, telnet,rpcinfo, NetBIOS, etc.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

5

6

7

8

9

10

1111

1213

14

4:

Los servidores que corren servicios innece-sarios (RPC, FTP, DNS, SMTP) pueden serfácilmente atacados.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

6

7

8

9

10

1111

1213

14

5:

La utilización de palabras clave débiles, fácilesde adivinar o la reutilización de palabras claveen las estaciones de trabajo puede comprome-ter los servidores.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

7

8

9

10

1111

1213

146:

Otra vulnerabilidad muy común son lascuentas de invitado, de prueba, o de usuariocon privilegios excesivos.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

8

9

10

1111

1213

14

7:

Servidores de Internet en la zona desmilitari-zada mal configurados, sobre todo elcódigo CGI o ASP, o servidores FTP anónimocon directorios accesibles en escriturapara todo el mundo. SQL injection


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

9

10

1111

1213

14

8:

Unas listas de acceso (ACL) mal configuradasen el cortafuegos o en el router pueden per-mitir el acceso desde el exterior, bien directa-mente, o bien una vez que la zona desmilita-rizada ha sido comprometida.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

10

1111

1213

149:

Software obsoleto, al que no se le han insta-lado los parches recomendados por el fa-bricante, vulnerable, o con las configuracionespor defecto, especialmente los servidoresWWW.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

1111

1213

14

10:

Controles de acceso a los ficheros o a losdirectorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos exportados con NFS en Unix.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

11

10

1213

14

11:

Las relaciones de confianza excesivas endominios NT o entradas en .rhosts y host.equiv en Unix pueden proporcionar a losatacantes acceso no autorizado a sistemasSensibles ( pilfering).


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

11

10

11

13

14

12:

Los servicios sin control de acceso de usuarios, como X Windows permiten a losatacantes la captura de las pulsaciones delteclado.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

11

10

11

12

14

13:

La gestión inadecuada de históricos, la faltade una monitorización adecuada o la faltade servicios de detección de intrusiones tantoen el nivel de red como en los ordenadoresconectados a ella.


ServidorDMZ


RouterInterno


LANinterna

LANinterna

Servidor

EstaciónTrabajo


UsuarioRemoto

OficinaRemota

Internet

ServidorDMZ

1

2

3

4

5

6

7

8

9

11

10

11

1213

14:

La falta de políticas de seguridad aceptadaspor todos y bien definidas y publicadas, asícomo de los procedimientos, normas y guíasde actuación relacionadas.

Tema 4: Políticas de seguridad


Política de Seguridad

� Objetivo�Definir cómo se va a proteger una

organización ante los ataques. Tiene dos partes:� Política general : define el enfoque general:

� Análisis de vulnerabilidad� Identificación de las amenazas

� Reglas específicas : definen las características y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la política general

Política de seguridad

� A nivel general:� Identificar que se ha de proteger� Determinar de que se está tratando de proteger� Determinar cuánto de probables son las amenazas� Implementar medidas que protejan los recursos con

un coste asumible� Revisar el proceso continuamente y hacer mejoras

cada vez que se localiza una debilidad


� Hitos de una buena política de seguridad�Para cada aspecto de la política:

� Autoridad ¿Quién es el responsable?� Ámbito ¿A quién afecta?� Caducidad ¿Cuándo termina?� Especificidad ¿Qué se requiere?� Claridad ¿Es entendible por todos?

Política de seguridad

� Características de una buena política de seguridad (RFC 2196)� Se tiene que poder poner en práctica mediante procedimientos

concretos de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos apropiados.

� No debe ser una entelequia.� Debe ser implementable

� Se debe obligar su cumplimiento mediante herramientas de seguridad , donde sea posible, y mediante sanciones , donde la prevención no sea posible técnicamente.

� No debe tener agujeros, y si los tiene hay que poder detectarlos

� Debe definir claramente las áreas de responsabilidad de los usuarios, los administradores y la dirección.

� Tiene que haber un responsable para toda situación posible


� Componentes de una buena política de seguridad (RFC 2196)� Guía de compra de hardware y software , donde se especifique las funciones

relacionadas con la seguridad requeridas o deseadas.� Una política de privacidad que asegure un nivel mínimo de privacidad en

cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc.� Una política de acceso que defina los niveles de seguridad, los derechos y

privilegios, características de las conexiones a las redes internas y externas, mensajes de aviso y notificación, etc.

� Una política de responsabilidad que defina las responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.)

� Una política de autenticación que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticación remota o el uso de dispositivos de autenticación.


� Componentes de una buena política de seguridad (RFC 2196), cont.� Una declaración de disponibilidad , que aclare las expectativas de los usuarios

en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en la red, etc.

� Una política de mantenimiento que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc.

� Una política de comunicación de violaciones que defina qué tipos de amenazas, y cómo y a quién se deben comunicar.

� Información de apoyo que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.

Documents

Seguridad servicios comunicaciones