Herramientas para la seguridad informática, un problema de dirección

Herramientas para la Seguridad InformáticaUn problema de dirección

Por: Ing. Adonys Maceo2010

Antecedentes

Evento:− Cualquier ocurrencia observable en la red o

sistema Conexión a servidores (web, e-mail, etc)

Incidente:− Evento adverso con consecuencias negativas

Negación de servicios Código malicioso

El porqué de la Seguridad

En cualquier sociedad, existe un porcentaje de gente maliciosa. Se estima que Internet tiene mas de 1500 millones de usuarios (tomado de wikipedia). Suponiendo que 1% es el número de usuarios maliciosos resulta convivimos con mas de 15 millones y evidente que debería preocuparnos.

Necesidad de proteger y mantener en ejecución de los servicios de una red Servidores físicos Servidores de correo, DNS,

Proxy, WWW y servicios Servidores de mensajería

instantánea y servicios Servidores de ficheros y

servicios Datos internos de la empresa Infraestructura de la red (cables,

hubs, switches, routers, etc.)

¿contra qué lo quieres proteger?

Daños físicos (humo, agua, comida, etc.) Borrado / modificación de datos (registros

contables, deterioro de tu sitio web, etc.) Exposición de datos (registros contables, etc.) Continuidad de servicios (mantenimiento activo de

los servidores de correo/www/ficheros) Evitar que otros hagan uso ilegal/impropio de tus

servicios (envíos masivos de correos, etc.)

¿cuál es la probabilidad de que se dé un suceso determinado?

Escaneos de red – puedes apostar que a diario Ingeniería social – varía, normalmente suelen ser objetivo

la gente más vulnerable Intrusión física – depende, bastante rara, pero un

empleado hostil con un par de alicates podría causar mucho daño en un armario de telecomunicaciones

Empleados que venden datos a la competencia – ocurre La competencia, que alquile a gente especializada para

penetrar activamente en tu red – nadie suele hablar de esto, pero también ocurre

posibles resultados derivados de un incidente de seguridad

Pérdidas de datos

Perdida directa de beneficios (ventas vía web, el servidor de ficheros inactivo, etc)

Costes en tiempo de personal

Pérdida de productividad del departamento de informática, así como de los trabajadores dependientes de su infraestructura

Implicaciones legales (registros médicos, registros contables de clientes, etc.)

Pérdida de la confianza por parte del cliente

Publicidad por parte de los medios de comunicación

¿como minimizar el impacto de los incidentes de seguridad?

Con la Preparación y prevención Software para atenuar el incidente

− Parches de Seguridad− Respaldos− Herramientas para el análisis y control de

los recursos de software y hardware− Prevención contra código malicioso (a

nivel de servidor, de host, clientes)

¿como minimizar el impacto de los incidentes de seguridad?

Instalar los servicios indispensables con sus bitácoras activadas

Concientización y capacitación (alfabetización digital, procedimientos, políticas)

Herramientas para análisis control de hardware

EVEREST Corporate Edition− H+S Instalado y con cambios

− Monitoreo y Control Remoto

Herramientas para análisis control de hardware

OCS Inventory Next Generation− Soporta Multiples SO:

Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X.

− Bajo consumo de ancho de banda (5KB inventario total)

− Administración Web

Herramientas de Seguridad

Nessus− Auditor de Seguridad Remoto. El cliente "The Nessus

Security Scanner" es una herramienta de auditoría de seguridad. Hace posible evaluar módulos de seguridad intentando encontrar puntos vulnerables que deberían ser reparados. Está compuesto por dos partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se encarga de los ataques, mientras que el cliente, "nessus", se ocupa del usuario por medio de una linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que además existe en otras formas y para otras platarformas.


Snort

− un Sniffer/logger de paquetes flexible que detecta ataques. Snort está basado en la biblioteca `libpcap' y puede ser usado como un "sistema de detección de intrusiones" (IDS) de poco peso. Posee un registro basado en reglas y puede buscar/identificar contenido además de poder ser usado para detectar una gran variedad de otros ataques e investigaciones (probes), como buffer overflows, barridos de puertos indetectables (stealth port scans), ataques CGI, pruebas de SMB (SMB probes), y mucho más. Otra característica importante de Snort es la capacidad de alertar en tiempo real, siendo estas alertas enviadas a syslog, un archivo de alerta separado o incluso a una computadora con Windows a través de Samba.


Saint− SAINT (Security Administrator's Integrated Network

Tool, o sea, Herramienta De Red Integrada Del Adminstrador de Seguridad) es una herramienta de evaluación de seguridad basada en SATAN. Incluye escaneos _a_través_ de un firewall, chequeos de seguridad actualizados de los boletines de CERT Y CIAC, 4 niveles de severidad (rojo, amarillo, marrón y verde) y una interfaz HTML rica en características.


Whisker− El excelente escáner de vulnerabilidades en CGI

de Rain.Forest.Puppy. Internet Security Scanner

− Un escáner de seguridad comercial muy popular

Herramientas de Seguridad Abacus Portsentry

− Este demonio de detección de barrido de puertos tiene la habilidad de detectar estos barridos (incluyendo "stealth scans") en las interfaces de red de tu máquina. Como medida de alarma, puede bloquear al atacante por medio de "hosts.deny", bloqueando el ruteo hacia la máquina hostil o por medio de reglas de firewall. Es parte del set de programas "Abacus".


SATAN Herramienta de Auditoría de Seguridad para

Analizar Redes (Security Auditing Tool for Analysing Networks). Ésta es una poderosa herramienta para analizar redes en búsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de info.


SARA (http://www-arc.com/sara/) El Asistente de Investigación para el Auditor de

Seguridad (Security Auditor's Research Assistant) es una herramienta de análisis de seguridad de tercera generación que está basada en el modelo de SATAN y distribuída bajo una licencia del estilo de la GNU GPL. Promueve un ambiente colaborativo y es actualizada periódicamente para tener en cuenta las últimas amenazas.


Ntop Muestra la utilización de la red al estilo de la

herramienta `top'. Muestra un sumario del uso de la red de las máquinas en ella en un formato que recuerda a la utilidad de unix `top'. También puede ser utilizada en un `web mode', que permite ver los resultados a través de un explorador de web.


NAT (NetBIOS Auditing Tool) La herramienta de auditoría de NetBIOS está

diseñada para explorar los servicios de NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa una enfoque paso a paso para recolectar información e intenta obtener acceso a archivos con permisos de sistema (`system-access') como si se fuera un cliente local legítimo.


Logcheck −Envía al administrador mensajes por e-mail informando de las anomalías en los archivos de registro del sistema. Es un programa creado para ayudar en el procesamiento de los archivos de registro de UNIX. Logcheck ayuda a localizar problemas y violaciones de seguridad en tus archivos de registro automáticamente y te envía los resultados por e-mail.


LSOF `List Open FileS'. `Listar archivos arbiertos'. lsof

es una herramienta de diagnóstica específica de Unix. Lista información acerca de cualquiera archivo abierto por procesos que están actualmente corriendo en el sistema.


Lids LIDS es un sistema de detección/defensa de

intrusión en Linux. El objetivo es proteger a sistemas con Linux para prevenir intrusiones a nivel de root, deshabilitando algunas llamadas a sistema en el kener mismo. Ya que a veces vas a necesitar administrar el sistema, podés deshabilitar la protección de LIDS.


IPTraf `Interactive Colorful IP LAN Monitor IPTraf' (o

sea el monitor de IP en LAN IPTraf Colorido e Interactivo) es un monitor de IP en LAN basado en `ncurses' que genera varias estadísticas de red incluyendo información sobre TCP, conteos de UDP, información de ICMP y OSPF; información sobre Ethernet, estadísticas por nodo, errores de `checksum' de IP, y demás.


GPG/PGP La "Guardia De Privacidad de GNU". GnuPg es

un reemplazo libre y completo de PGP, desarrollado en Europa. Al no requerir de IDEA, o RSA, puede ser usado sin restricciones. GnuPg es una aplicación compatible con el RFC 2440 (OpenPGP). PGP es el programa de cifrado famoso que ayuda a asegurar tus datos de curiosos y otros riesgos.


Mas herramientas de seguridad Se pueden encontrar en http://sectools.org/

Herramienta de Monitoreo de Red

Arpwatch Monitorea el trafico ARP (Address Resolution

Protocol). Genera un log de pares IP/MAC y envía un correo si un nuevo dispositivo es conectado a la red.

Herramientas de Monitoreo de Red totalmente gratis

Nagios (http://www.nagios.org/) Just For Fun Network Management System

(JFFNMS - http://www.jffnms.org/) Big Sister System and Network Monitor

(http://www.ziptie.org/ ) Netdisco (http://netdisco.org/)

Herramientas de Monitoreo de Red6 A Escala Empresarial que han sustituido suite de

HP, IBM, ... Quest Big Brother (http://www.quest.com/big-

brother/) GroundWork Monitor Professional (

http://www.groundworkopensource.com) Hyperic HQ Enterprise (http://www.hyperic.com/) OpenNMS (http://www.opennms.com) OpenQRM (http://www.openqrm.org/) Zenoss Core (http://www.zenoss.com)

http://www.groundworkopensource.com/

http://www.hyperic.com/

http://www.opennms.com/

http://www.openqrm.org/


Nagios:

Sistema de monitorización de redes de código abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados ó SSH, y la posibilidad de programar plugins específicos para nuevos sistemas.


Nagios (cont...):

Se trata de un software que proporciona una gran versatilidad para consultar prácticamente cualquier parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos parámetros exceden de los márgenes definidos por el administrador de red.

Llamado originalmente Netsaint, nombre que se debió cambiar por coincidencia con otra marca comercial, fue creado y es actualmente mantenido por Ethan Galstad, junto con un grupo de desarrolladores de software que mantienen también varios complementos.


Cacti Completa solución WEB de graficado en red,

diseñada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool; provee plantillas de gráficos avanzadas, múltiples métodos para la recopilación de datos, y manejo de usuarios. Tiene una interfaz de usuario fácil de usar.

Herramientas de Monitoreo de Red

Mas herramientas de monitoreo de red Se pueden encontrar en: http://www.slac.stanford.edu/xorg/nmtf/nmtf-tools.html

¿Por que un problema de Dirección?

La dirección de una empresa debe aprobar todos los cambios en la configuración de sus servidores

¿Como puede controlar que la configuración aprobada no se ha alterado deliberadamente en el tiempo?

¿Como se entera el RSI y la dirección de la empresa que ha cambiado la con figuración de sus servidores?

Comprobador de integridad de archivos y directorios

herramienta que ayuda a administradores y usuarios de sistemas monitoreando alguna posible modificación en algún set de archivos.

Herramientas de Integridad de archivos

Afick (http://afick.sourceforge.net/) AIDE (http://sf.net/projects/aide) Fcheck Integrit (http://integrit.sourceforge.net/) Osiris (http://www.shmoo.com/) OSSEC (http://www.ossec.net/) Samhain (http://www.la-samhna.de/samhain/) Tripwire (http://sourceforge.net/projects/tripwire/)

Administración centralizada

Osiris y Samhain ambos proporcionan soporte integrado para registro centralizado y la gestión

Muchas Gracias

Technology

Herramientas para la seguridad informática, un problema de dirección