Professional Documents
Culture Documents
Cisco Public
Introduccin
La seguridad en redes involucra protocolos, tecnologas, dispositivos, herramientas y tcnicas para asegurar los datos y mitigar las amenazas.
La seguridad en redes de comunicaciones se puede definir como el proceso de proteger cualquier elemento de informacin digital. El trabajo de un profesional de la seguridad en redes es mitigar los ataques a las redes y ese es uno de los objetivos que buscamos con este curso.
Cisco Public
Cisco Public
Para asegurar las redes los profesionales implementan politicas y mecanismos que intentan mantener entornos estables y seguros. La necesidad es la madre de los inventos. Con el paso de los aos la sofisticacin de las herramientas de ataque es inversamente proporcional a los conocimientos necesarios para realizar dicho ataque.
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
10
Cisco Public
11
Cisco Public
12
Un profesional de seguridad en redes debe estar familiarizado con las organizaciones de seguridad las cuales ofrecen la ultima informacion de amenazas y vulnerabilidades.
Cisco Public
13
Cisco Public
14
Cisco Public
15
Cisco Public
16
Cisco Public
17
Cisco Public
18
Cisco Public
19
Cisco Public
20
Cisco Public
21
Politica de seguridad
Cisco Public
22
Poltica de seguridad
La poltica de seguridad de redes es un amplio documento en el que se especifican de un modo sencillo los mecanismos de seguridad de una organizacin.
Reglas de acceso a la red. Descripcin de la arquitectura bsica de la red en entornos de seguridad. Jerarqua de permisos de acceso Que se debe proteger.
Cisco Public
23
Cisco Public
24
Cisco Public
25
Cisco Public
26
Cisco Public
27
VIRUS
Un virus es un software malicioso se inserta en los sistemas con el fin de daarlos, corromperlos, replicarse y, habitualmente, sirven para denegar servicios y acceso a redes, sistemas o servicios
Los Virus Necesitan la intervencin del usuario para propagarse Los Gusanos ejecutan codigo arbitrario e instalan copias de el mismo en la memoria de la maquina infectada. Desde hay infectan otros hosts. Los Gusanos Se expanden sin intervencin de los usuarios utilizando vulnerabilidades de los sistemas Un caballo de troya es una aplicacin que intenta parecer otra aplicacin legitima. Habitualmente se descarga y al abrirla se ejecuta en la maquina comprometida.
Cisco Public
28
Virus (y II)
Habitualmente un virus es un cdigo malicioso que se aade al final de las aplicaciones legitimas a las que infecta.
Es autoreplicante. Requiere por lo tanto del usuario para activarse.
Cisco Public
29
Gusanos
Se propagan empleando para ello las vulnerabilidades de las redes. Mientras que un virus necesita de una aplicacin para ejecutarse el gusano se ejecuta a el mismo y no requiere por lo tanto de intervencin del usuario. Son los ataques ms devastadores de los ltimos tiempos
SQL Slammer Worm - Enero 2003: DOS en servidores con SQL Server. Haba un parche para esa vulnerabilidad varios meses atrs pero no siempre se haba instalado. Se propago en 20 horas a 250000 servidores.
Los gusanos son cada dia mas sofisticados hoy en da tienen tres componentes fundamentales:
Habilita una vulnerabilidad: El gusano aprovechndose de una vulnerabilidad mediante un mecanismo de exploit (attach de un email, ejecutable, caballo de troya) se instala a si mismo. Mecanismo de propagacion: Se replica a traves de la red en las maquinas destino. Payload: Cualquier codigo malicioso. A veces crea backdoors en la maquina destino.
Cisco Public
30
Gusanos (y II)
Fases de ataque de un gusano
Fase de prueba: Se identifican las maquinas destino. Se suele emplear para ello trafico ICMP mediante el cual se identifican SO y SW vulnerable. Se intenta obtener claves mediante cualquiera de los mtodos que explicaremos mas adelante. Fase de penetracin: Se transfiere el cdigo a la maquina vulnerable. Dicho cdigo puede penetrar a travs de una vulnerabilidad CGI, un ActiveX, un Buffer Overflow o incuso a traves de un Email. Fase de Persistencia: El objetivo tras la primera ajecucion del codigo es garantizar que el codigo se volvera a ejecutar tras el primer reinicio. Para ellos se modifican ficheros de sistema. Fase de propagacion: Se extiende la infeccion a maquinas vecinas, por ejemplo mediante copias de emails, mediante FTP o incluso IRC. Fase de paralizacion: Ya se produjo el dao en el sistema y se borraron ficheros, se copio informacion o se paralizo mediante una DOS o DDOS.
Cisco Public
31
Caballos de Troya
Un caballo de troya es un tipo de Malware que puede ser llevado a un sistema a travs de un gusano o a travs de otro medio y que se caracteriza por:
Contiene codigo oculto malicioso que intenta explotar los provilegios del usuario bajo el cual se ejecuta. Puede causar dao inmediato. Puede crear Backdoors al sistema. Pueden estar preparados para realizar control remoto de la maquina. Pueden enviar informacion a traves de la red. Pueden hacer que la maquina destino se comporte como un Servidor Proxy. Pueden deshabilitar SW AntiVirus. Ralentizan la actividad de la red y por lo tanto pueden producir DOS.
Cisco Public
32
Cisco Public
33
Vulnerabilidades
Conceptos bsicos:
Vulnerabilidad: Es una debilidad inherente a toda red o dispositivo Amenaza: Es una accin realizada con el objetivo de sacar ventaja de una vulnerabilidad Exploit: Es un software, un fragmento de datos o una secuencia de comandos que tiene como objetivo aprovechar una vulnerabilidad
Tipos de vulnerabilidades:
Tecnolgicas: Intrnsecas a la tecnologa De configuracin De directivas de seguridad
Cisco Public
34
Amenazas
Amenazas no estructuradas:
Usuarios inexpertos utilizando herramientas de hacking
Amenazas estructuradas:
Hackers que utilizan tcnicas desarrolladas en muchos casos por ellos mismos
Amenazas externas :
Individuos ajenos a la organizacin, que no tienen acceso a los sistemas o a la red corporativa
Amenazas internas:
Individuos con algn tipo de acceso a la red o a los sistemas (80% de los ataques)
Tipos de atacantes: hacker, cracker, phreaker, spammer, phisher, white hat hacker, black hat hacker
Cisco Public
35
Ataque
Reconocimiento:
Consiste en la realizacin de tareas descubrimiento y mapeo no autorizadas de sistemas, servicios o vulnerabilidades Recoger informacin previa a ataques de acceso o de Denegacin de Servicio (DoS)
Acceso:
Es un tipo de ataque orientado a obtener acceso a un dispositivo para la cual el atacante no tiene acceso
Denegacin de Servicios:
El atacante deshabilita o corrompe redes, sistemas o servicios para intentar que los usuarios autorizados no puedan acceder a los servicios que oferta la organizacin. Tirar los sistemas (crashing) o ralentizar la velocidad de funcionamiento haciendo que el uso del sistema sea impracticable El atacante no necesita acceder al sistema para realizar el ataque. Pueden realizarse mediante exploitso scripts
Cisco Public
36
Metodologas de Ataque
Cisco Public
37
Ataques de reconocimiento
Fundamentalmente los ataques de red podemos categorizarlos en:
Ataques de reconocimiento: Analisis de sistemas, servicios y vulnerabilidades. Habitualmente realizados mediante sniffers, scanners de puertos Ataques de acceso: explotan vulnerabilidades conocidas en los servicios de autenticacin, servicios FTP, accesos a BD, etc Ataques de Denegacion de Servicio: Gran numero de peticiones a servidores saturan sus recursos y los legitimos usuarios al acceder a los servicios sufren una caida de rendiemiento muy acusada.
Cisco Public
38
Cisco Public
39
Cisco Public
40
Un barrido de pings Ping sweep es una tecnica que consiste en determinar que mquinas estan operativas de una rango de direcciones IP de una red. Se envia un Echo request ICMP y se espera por un Echo reply de ICMP. El escaneado de puertos TCP y UDP intenta identificar servicios operativos (a la escucha) bajo determinados numeros de puerto. Para ello se envian mensajes de consulta a cada puerto y se verifica si se obtiene respuesta o no.
Cisco Public
41
Cisco Public
42
Ataques de acceso
Consisten en la realizacin de las acciones necesarias para acceder a un sistema para el que no se cuenta con las credenciales necesarias, explotando vulnerabilidades en los mecanismos de autenticacin.
Los hackers emplean los ataques de acceso con tres objetivos fundamentales:
Obtener informacin. Conseguir el acceso a los sistemas. Intentar obtener cuentas de usuario con privilegios mximos.
Ataques de contraseas:
Mtodos: fuerza bruta, basados en diccionarios, utilizacin de troyanos, IP Spoofing packet sniffing
Cisco Public
43
Se basan en intentar obtener la clave de una cuenta de usuario conocida. En algunos casos instalan keyloggers para obtener mas informacion de palabras de pasode otros usuarios.
Cisco Public
44
En general los ataques de acceso son detectados analizando los LOGS de los sistemas operativos y aplicaciones de control de acceso, por ejemplo CSACS Los ataques man-in-the-middle suelen ser detectados por haber un trfico de red inusualmente grande y se puede hacer a travs de software de monitoreado de red.
Cisco Public
45
Ejemplos:
En una red corporativa con una DMZ donde se albergan los servidores, el comprometer un servidor puede hacer lo mismo con los dems, si tienen establecidas relaciones de confianza entre ellos. En una red corporativa pueden producirse graves problemas si un sistema que est fuera de las reas protegidas tiene establecida una relacin de confianza con un sistema que est en un rea desprotegida Escalado de privilegios Problema de autorizacin, no de autenticacin Soluciones: Restricciones severas en el establecimiento de relaciones de confianza Nunca confiar completamente en sistemas ubicados fuera de las zonas protegidas por firewall Limitar el uso de protocolos
Cisco Public
46
Ataques de acceso (y V)
Redireccin de puertos:
Es un tipo especial de ataque de explotacin de confianza que utiliza a un equipo comprometido para pasar trfico a travs de un firewall u otro dispositivo intermedio que en condiciones normales lo descartara. Si se compromete un equipo ubicado en la DMZ, este puede ser utilizado para alcanzar la red interna. Soluciones:
Modelos de confianza adecuados IDS IPS
Cisco Public
47
Cisco Public
48
El mayor problema es que en algunas ocasiones son relativamente fciles de producirse. Los ataques DDOS o de denegacin de servicio distribuidos son similares a los DOS (Buscan los mismos objetivos) pero el ataque se produce desde varios origenes distintos y coordinados. Aumentando en consecuencia el trfico generado y la dureza del ataque. Los DDOS suelen realizarse instalando Software Zombie en maquinas que luego seran empleadas desde una ubicacin central como realizadoras de un ataque DOS.
Cisco Public
49
Cisco Public
50
Los ataques DDOS Estn diseados para saturar enlaces o servidores con datos espurios, valindose de las mismas estrategias que los ataques DoS, pero realizado a mucha mayor escala.
Cisco Public
51
Cisco Public
52
Cisco Public
53
Stacheldraht (alambre de espino): Combina diferentes estrategias de ataque (incluyendo TFN), aadiendo algunas peculiaridades:
Cifrado en las comunicaciones entre el master y los servidores Actualizacin automtica
Cisco Public
54
Cisco Public
55
Cisco Public
56
Cisco Public
57