Capitulo 1 Modern Network Security Threats

Modern Network Security Threats
2007 Cisco Systems, Inc. Todos los derechos reservados.
Cisco Public
Introduccin
La seguridad en redes involucra protocolos, tecnologas, dispositivos, herramientas y tcnicas para asegurar los datos y mitigar las amenazas.
La seguridad en redes de comunicaciones se puede definir como el proceso de proteger cualquier elemento de informacin digital. El trabajo de un profesional de la seguridad en redes es mitigar los ataques a las redes y ese es uno de los objetivos que buscamos con este curso.
Cisco Public
Evolucin de la seguridad en redes.
Cisco Public
Evolucin de la seguridad en redes.

Ejemplo DOS generado por el Worm Code Red. Consecuencias:
Operaciones de E-Comerce interrumpidas. Perdida de datos empresariales. Amenazas a la privacidad de las personas. Integridad de la informacin comprometida.
Para asegurar las redes los profesionales implementan politicas y mecanismos que intentan mantener entornos estables y seguros. La necesidad es la madre de los inventos. Con el paso de los aos la sofisticacin de las herramientas de ataque es inversamente proporcional a los conocimientos necesarios para realizar dicho ataque.
Cisco Public
Evolucin de la seguridad en redes (y II)

Dispositivos que son capaces de proporcionar seguridad en redes:
Un IDS es una de las herramientas que se pueden emplear en seguridad en redes. IDS significa Sistema de Deteccin de intrusiones, implementado por primera vez en 1984. Un IDS proporciona en tiempo real la deteccin de un cierto tipo de ataques cuando se estn produciendo. En los aos 90 los IDS empezaron a ser reemplazados por los IPS. Denominados sistemas de Prevencin de Intrusiones o Sensores. Los IPS son capaces de detectar actividades maliciosas y bloquear los ataques en tiempo real. Los firewalls fueron implementados para prevenir el acceso de determinado tipo de trfico en determinadas areas de una red, de este modo se consigue obtener la seguridad perimetral. En 1988, Digital Equipment Corporation (DEC) creo el primer Firewall de Red como un sistema de filtrado de paquetes. En 1989 los laboratorio AT&T implementaron el primer Firewall Con estado que inspecciona los paquetes como parte de una conexin existente.
Cisco Public
Evolucin de la seguridad en redes (y III)

Dispositivos que son capaces de proporcionar seguridad en redes
(Cont.):
En 1991 aparece el primer Firewall de Capa de Aplicacin. Al principio los Firewalls se implementaban habitualmente como un software que forma parte de un Router, con el paso del tiempo ya se implementarion Firewalls dedicados. En empresas a las que un Firewall dedicado les viene grande existe la opcin de emplear un Cisco Integrated Services Router (ISR), que puede ser empleado como un sofisticado firewall con estado.
Cisco Public
Evolucin de la seguridad en redes (y IV)

Las amenazas de seguridad pueden provenir del interior o del exterior de las redes. Analizaremos ahora las herramientas y tcnicas para mitigar amenazas internas. Ejemplo: Trabajador disgustado que genera DOS o Spoofing en las LAN Conmutadas. En el caso de spoofing hablamos de falsificacin de datos, por ejemplo direcciones MAC, en el caso de DOS hablamos de hacer que los recursos de los sistemas se vuelvan no accesibles. Otros ejemplos de ataques en LAN son: Ataques de ARP spoofing, ataques a las VLANs, spoofing a Root Bridges, tormentas en LAN,
Cisco Public
Evolucin de la seguridad en redes (y V)

Es necesario proteger la informacin. La criptografa se ocupa de proteger y ocultar dicha informacin. Hay protocolos que se caracterizan por ocultar el trnsito de informacin a travs de las redes. Ejemplos: Criptografa en redes Wireless, Criptografa con telfonos IP. La criptografa busca garantizar los tres elementos fundamentales de la seguridad:
Confidencialidad. Integridad. Disponibilidad.
Cisco Public
Evolucin de la seguridad en redes (y VI)

Ejemplos de evolucin en la proteccin de datos:
Tneles GRE en 1993, VPNs site to site en 1996. SSH en 1999. VPNs sobre MPLS en 2000. VPNs IPSec de acceso remoto en 2001 VPN Multipunto Dinmicas en 2002 SSL VPN en 2005.
Cisco Public
Drivers para seguridad en redes
Cisco Public
10
Drivers para seguridad en redes.

Lnea de tiempos de hacking
Dcada de los 60 y 70: Phone Freaks. Dcada de los 80: WarDialing En 1988 aparece el primer WORM de Internet. En 1995 aparece la herramienta SATAN (Security Administration Tool for Analyzing Networks). En 1997 aparece la herramienta de escaneado NMap. En 1997 aparecen los primeros scripts usados por Kiddies. A finales de los 90 WarDriving con redes Wireless.
Cisco Public
11
Drivers para seguridad en redes. (y II)

Primer virus de E-Mail: Melissa, genera un overflow en memoria en los servidores de correo infectados. Su creador fue sentenciado a 20 meses de prisin.
Primer WORM de internet: Morris creado por Robert Morris. Infecto a un porcentaje cercano al 10% de los servidores de Internet. Generaba DOS consumiendo porcentajes muy altos de CPU. Primer SPAM en Arpanet Primer Ataque DOS: Mafiaboy genero un ataque DOS paralizo algunos de los lugares de internet ms conocidos.
Cisco Public
12
Drivers para seguridad en redes. (y III)

Profesionalizacin de la seguridad en redes. Actualizacin de conocimientos constante. Diversificacin en los profesionales de seguridad de redes Ingeniero de seguridad en redes. Analista de seguridad. Especialista de seguridad en redes. Administrador de seguridad en redes. Arquitecto de seguridad en redes. Ingeniero de sistemas
Un profesional de seguridad en redes debe estar familiarizado con las organizaciones de seguridad las cuales ofrecen la ultima informacion de amenazas y vulnerabilidades.
Cisco Public
13
Organizaciones de seguridad en redes
Cisco Public
14
Organizaciones de seguridad en redes

Los profesionales de seguridad en redes deben colaborar con sus colegas de distintas organizaciones entre ellas: Instituto SANS (Sysadmin Audit Network Security) CERT (Computer Emergency Institute Team) ISC (International Information Systems Security Certification Consortium) Proporcionan informacin acerca de las ltimas alertas, exploits y vulnerabilidades. Por ejemplo FIRST es una organizacin que se ocupa de informar acerca de incidentes de seguridad y la respuesta ante dichos incidentes que realizaron gobiernos, entidades educativas y comerciales.
Cisco Public
15
Organizaciones de seguridad en redes (y II)

El instituto SANS realiza labores de investigacin y educativas. Una de sus funciones principales es la de certificacin. SANS implementa cursos de seguridad que permiten preparar la certificacin (GIAC) la cual cubre aspectos de: Auditoria Gestion Operaciones Implicaciones legales Administracion de seguridad Seguridad en software. En consecuencia SANS permite validar los conocimientos de los profesionales de seguridad en redes.
Cisco Public
16
Organizaciones de seguridad en redes (y III)

CERT forma parte del instituto de Ingenieria del Software (SEI) de la universidad Carnegie Mello. CERT se encarga de la deteccion y resolucion de incidentes de seguridad en Internet. CERT responde a incidentes graves y analliza vulnerabilidades de productos. CERT est centrado en cinco areas: Seguridad del software Sistemas seguros Seguridad organizacional Respuesta coordinada Educacion y aprendizaje.
Cisco Public
17
Organizaciones de seguridad en redes (y IV)

(ISC)2 proporciona productos educativos y servicios en mas de 135 paises. Entre sus miembros hay mas de 60000 profesionales certificados pertenecientes a la industria. Desarrolla y mantiene una base de datos de conocimiento que define los estandares de la industria. ISC2 es reconocida internacionalmente por la informacion acerca de certificaciones de seguridad una de las mas famosas es CISSP (Certified Information Systems Security Professional) Una herramienta muy empleada para notificar informacion de seguridad es RSS por ejemplo US-CERT proporciona informacion actualizada a traves de un RSS.
Cisco Public
18
Dominios de la seguridad en redes
Cisco Public
19
Dominios de la seguridad en redes

Hay 12 dominios de seguridad en redes especificados por la ISO/IEC los cuales tienen un gran paralelismo por los especificados por la certificacion CISSP Analisis de riesgos: Analisis cualitativo y cuantitativo del riesgo. Politica de seguridad: Documento en el que se especifican datos, acceso a los mismos por parte de los miembros de la organizacion. Organizacion de la informacion de seguridad. Analisis de Gestion Seguridad en recursos humanos Gestin de comunicaciones y operaciones Control de acceso Sistemas de adquisicin de informacin, implementacin y mantenimiento
Cisco Public
20
Dominios de la seguridad en redes (y II)

Gestin de la informacion en los incidentes de seguridad.
Gestin de la continuidad de negocio. Conformidad. Con estandares y regulaciones. Esta divisin en 12 dominios proporciona una separacin muy conveniente de los elementos de seguridad en redes. Uno de los dominios ms importantes es la Politica de seguridad responsabilidad del profesional de seguridad en redes.
Cisco Public
21
Politica de seguridad
Cisco Public
22
Poltica de seguridad
La poltica de seguridad de redes es un amplio documento en el que se especifican de un modo sencillo los mecanismos de seguridad de una organizacin.
Reglas de acceso a la red. Descripcin de la arquitectura bsica de la red en entornos de seguridad. Jerarqua de permisos de acceso Que se debe proteger.
Cisco Public
23
Politica de seguridad (y II)

Una red de Auto-Defensa Cisco (SDN) emplea la red para identificar, prevenir y adaptarse a las amenazas. Cisco SDN empieza por una plataforma de red fuerte, segura y con una solucion de seguridad implementada. Una topologia Cisco SDN incluye: Cisco Security Manager, un sistema de Monitoreado, Analisis, y un Sistema de Respuesta (MARS), uno o ms IPSs, uno o ms firewalls, varios routers, y concentradores de VPN.
Cisco Public
24
Politica de seguridad (y III)

Algunos clientes no adoptan todos los componentes de Cisco SDN al mismo tiempo. En consecuencia Cisco SDN proporciona productos que pueden ser desplegados independientemente. Productos disponibles en Cisco SDN: Cisco IOS con IPS, VPN y FW con estado. Cisco PIX con VPN (Ya no se da soporte) IDS e IPS integrado (En IOS y en ASA) Modulos de seguridad para switches 6500 y routers 7500 Cisco ASA 5500 con VPN integrado Dispositivo IDS e IPS Cisco Secure ACS Cisco Security Agent endpoint Software (Para Servidores y estaciones) Cisco Security Manager, Cisco Security MARS, Cisco Router and Device manager SDM. (Proporcionan seguridad a distintos dispositivos)
Cisco Public
25
Politica de seguridad (y IV)

En la implementacion de una politica de segurida es importante identificar los elementos a proteger: Bases de datos Aplicaciones vitales Informacion de empleados y clientes. Informacion comercial clasificada Servidores WEB, SRV de correo. Unidades compartidas en red Una politica de seguridad ha de especificar por ejemplo la periodicidad de las actualizaciones de los antivirus de las estaciones y servidores. Una politica especifica guias de uso para los usuarios y aceptaciones de las politicas para cada usuario.
Cisco Public
26
Virus Gusanos y caballos de Troya
Cisco Public
27
VIRUS
Un virus es un software malicioso se inserta en los sistemas con el fin de daarlos, corromperlos, replicarse y, habitualmente, sirven para denegar servicios y acceso a redes, sistemas o servicios
Los Virus Necesitan la intervencin del usuario para propagarse Los Gusanos ejecutan codigo arbitrario e instalan copias de el mismo en la memoria de la maquina infectada. Desde hay infectan otros hosts. Los Gusanos Se expanden sin intervencin de los usuarios utilizando vulnerabilidades de los sistemas Un caballo de troya es una aplicacin que intenta parecer otra aplicacin legitima. Habitualmente se descarga y al abrirla se ejecuta en la maquina comprometida.
Cisco Public
28
Virus (y II)
Habitualmente un virus es un cdigo malicioso que se aade al final de las aplicaciones legitimas a las que infecta.
Es autoreplicante. Requiere por lo tanto del usuario para activarse.
Se puede activar en un instante determinado o cuando se ejecuta la aplicacin que lo porta.

Pueden realizar desde borrado de ficheros a modificacin en el comportamiento de aplicaciones. Se propagan por soportes de almacenamiento o a travs de ficheros descargados de internet o a travs de emails.
Cisco Public
29
Gusanos
Se propagan empleando para ello las vulnerabilidades de las redes. Mientras que un virus necesita de una aplicacin para ejecutarse el gusano se ejecuta a el mismo y no requiere por lo tanto de intervencin del usuario. Son los ataques ms devastadores de los ltimos tiempos
SQL Slammer Worm - Enero 2003: DOS en servidores con SQL Server. Haba un parche para esa vulnerabilidad varios meses atrs pero no siempre se haba instalado. Se propago en 20 horas a 250000 servidores.
Los gusanos son cada dia mas sofisticados hoy en da tienen tres componentes fundamentales:
Habilita una vulnerabilidad: El gusano aprovechndose de una vulnerabilidad mediante un mecanismo de exploit (attach de un email, ejecutable, caballo de troya) se instala a si mismo. Mecanismo de propagacion: Se replica a traves de la red en las maquinas destino. Payload: Cualquier codigo malicioso. A veces crea backdoors en la maquina destino.
Cisco Public
30
Gusanos (y II)
Fases de ataque de un gusano
Fase de prueba: Se identifican las maquinas destino. Se suele emplear para ello trafico ICMP mediante el cual se identifican SO y SW vulnerable. Se intenta obtener claves mediante cualquiera de los mtodos que explicaremos mas adelante. Fase de penetracin: Se transfiere el cdigo a la maquina vulnerable. Dicho cdigo puede penetrar a travs de una vulnerabilidad CGI, un ActiveX, un Buffer Overflow o incuso a traves de un Email. Fase de Persistencia: El objetivo tras la primera ajecucion del codigo es garantizar que el codigo se volvera a ejecutar tras el primer reinicio. Para ellos se modifican ficheros de sistema. Fase de propagacion: Se extiende la infeccion a maquinas vecinas, por ejemplo mediante copias de emails, mediante FTP o incluso IRC. Fase de paralizacion: Ya se produjo el dao en el sistema y se borraron ficheros, se copio informacion o se paralizo mediante una DOS o DDOS.
Cisco Public
31
Caballos de Troya
Un caballo de troya es un tipo de Malware que puede ser llevado a un sistema a travs de un gusano o a travs de otro medio y que se caracteriza por:
Contiene codigo oculto malicioso que intenta explotar los provilegios del usuario bajo el cual se ejecuta. Puede causar dao inmediato. Puede crear Backdoors al sistema. Pueden estar preparados para realizar control remoto de la maquina. Pueden enviar informacion a traves de la red. Pueden hacer que la maquina destino se comporte como un Servidor Proxy. Pueden deshabilitar SW AntiVirus. Ralentizan la actividad de la red y por lo tanto pueden producir DOS.
Cisco Public
32
Introduccin a los conceptos de Vulnerabilidad, Amenaza y Ataque
Cisco Public
33
Vulnerabilidades
Conceptos bsicos:
Vulnerabilidad: Es una debilidad inherente a toda red o dispositivo Amenaza: Es una accin realizada con el objetivo de sacar ventaja de una vulnerabilidad Exploit: Es un software, un fragmento de datos o una secuencia de comandos que tiene como objetivo aprovechar una vulnerabilidad
Tipos de vulnerabilidades:
Tecnolgicas: Intrnsecas a la tecnologa De configuracin De directivas de seguridad
Cisco Public
34
Amenazas
Amenazas no estructuradas:
Usuarios inexpertos utilizando herramientas de hacking
Amenazas estructuradas:
Hackers que utilizan tcnicas desarrolladas en muchos casos por ellos mismos
Amenazas externas :
Individuos ajenos a la organizacin, que no tienen acceso a los sistemas o a la red corporativa
Amenazas internas:
Individuos con algn tipo de acceso a la red o a los sistemas (80% de los ataques)
Tipos de atacantes: hacker, cracker, phreaker, spammer, phisher, white hat hacker, black hat hacker
Cisco Public
35
Ataque
Reconocimiento:
Consiste en la realizacin de tareas descubrimiento y mapeo no autorizadas de sistemas, servicios o vulnerabilidades Recoger informacin previa a ataques de acceso o de Denegacin de Servicio (DoS)
Acceso:
Es un tipo de ataque orientado a obtener acceso a un dispositivo para la cual el atacante no tiene acceso
Denegacin de Servicios:
El atacante deshabilita o corrompe redes, sistemas o servicios para intentar que los usuarios autorizados no puedan acceder a los servicios que oferta la organizacin. Tirar los sistemas (crashing) o ralentizar la velocidad de funcionamiento haciendo que el uso del sistema sea impracticable El atacante no necesita acceder al sistema para realizar el ataque. Pueden realizarse mediante exploitso scripts
Cisco Public
36
Metodologas de Ataque
Cisco Public
37
Ataques de reconocimiento
Fundamentalmente los ataques de red podemos categorizarlos en:
Ataques de reconocimiento: Analisis de sistemas, servicios y vulnerabilidades. Habitualmente realizados mediante sniffers, scanners de puertos Ataques de acceso: explotan vulnerabilidades conocidas en los servicios de autenticacin, servicios FTP, accesos a BD, etc Ataques de Denegacion de Servicio: Gran numero de peticiones a servidores saturan sus recursos y los legitimos usuarios al acceder a los servicios sufren una caida de rendiemiento muy acusada.
Cisco Public
38
Ataques de reconocimiento (y II)

Suelen preceder a ataques de DOS
En general suelen empezar con un ping sweep de la red destino con el objetivo de localizar las direcciones IP activas y los puertos abiertos en dichas maquinas. Tipos de ataque de reconocimiento: Escucha de puertos, escaneo de puertos, barrido de pings, peticiones de informacin de servicios de Internet, empleo de sniffers de red. Estrategia de un ataque de intrusin suele estar precedido de: 1. Barrido de pings Determinar equipos activos 2. Escaneo de puertos Servicios de red y/o puertos activos 3. Envo de peticiones estndar a los puertos activos Aplicaciones y versiones 4. Bsqueda de vulnerabilidades y exploits
Cisco Public
39
Ataques de reconocimiento (y II)

Suelen preceder a ataques de DOS En general suelen empezar con un ping sweep de la red destino con el objetivo de localizar las direcciones IP activas y los puertos abiertos en dichas maquinas.
Tipos de ataque de reconocimiento:
Escucha de puertos, escaneo de puertos, barrido de pings, peticiones de informacin de servicios de Internet, empleo de sniffers de red.
Estrategia de un ataque de intrusin suele estar precedido de:

1. Barrido de pings Determinar equipos activos 2. Escaneo de puertos Servicios de red y/o puertos activos 3. Envo de peticiones estndar a los puertos activos Aplicaciones y versiones 4. Bsqueda de vulnerabilidades y exploits
Cisco Public
40
Ataques de reconocimiento (y III)

Un Packet Sniffer es una aplicacin que pone la tarjeta de red en Modo Promiscuo y captura todos los paquetes que son enviados a travs de la LAN. Muchas aplicaciones de red no cifran la informacin por lo que es posible capturarla e interpretarla. Solo capturan trfico del dominio de colisin al que atacan.
Ejemplos:
Wireshark Protocol Inspector
Un barrido de pings Ping sweep es una tecnica que consiste en determinar que mquinas estan operativas de una rango de direcciones IP de una red. Se envia un Echo request ICMP y se espera por un Echo reply de ICMP. El escaneado de puertos TCP y UDP intenta identificar servicios operativos (a la escucha) bajo determinados numeros de puerto. Para ello se envian mensajes de consulta a cada puerto y se verifica si se obtiene respuesta o no.
Cisco Public
41
Ataques de reconocimiento (y IV)

Dentro de los ataques de reconocimiento se incluyen el envio de peticiones estndar a los puertos activos en la bsqueda de obtener informacin acerca de las Aplicaciones y versiones de las mismas que proporcionan los servicios. En consecuencia gracias a este tipo de ataques se buscan vulnerabilidades y exploits de las aplicaciones, servicios y protocolos. En muchos sistemas cuando se detecta alguno de los ataques de reconocimiento que hemos explicados se lanzan alarmas o triggers que informan al administrador acerca del ataque que se est produciendo en ese momento. Esta es una de las tareas que realizan los sistemas de deteccin de intrusin de los que hablaremos en temas sucesivos.
Cisco Public
42
Ataques de acceso
Consisten en la realizacin de las acciones necesarias para acceder a un sistema para el que no se cuenta con las credenciales necesarias, explotando vulnerabilidades en los mecanismos de autenticacin.
Los hackers emplean los ataques de acceso con tres objetivos fundamentales:
Obtener informacin. Conseguir el acceso a los sistemas. Intentar obtener cuentas de usuario con privilegios mximos.
Ataques de contraseas:
Mtodos: fuerza bruta, basados en diccionarios, utilizacin de troyanos, IP Spoofing packet sniffing
Cisco Public
43
Ataques de acceso (y II)

Los ataques de fuerza bruta se basan en intentar acceder a un recurso compartido previa autenticacin con un nombre de usuario y una clave. Para ello se prueba con diferentes combinaciones de la clave. En el momento en que se consigue el acceso, dicha cuenta ya est comprometida y suelen instalar caballos de troya que permitan dicho acceso en el futuro. Ejemplos de aplicaciones de este tipo son:
L0phtCrack. LC5
Se basan en intentar obtener la clave de una cuenta de usuario conocida. En algunos casos instalan keyloggers para obtener mas informacion de palabras de pasode otros usuarios.
Cisco Public
44
Ataques de acceso (y III)

Hay fundamentalmente 5 tipos de ataques de acceso.
Ataques de Passwords: Por ejemplo un ataque de diccionario. Explotacin de confianza: Es un conjunto de tcnicas utilizadas para sacar ventaja de una relacin de confianza en la red Redireccin de puertos: En el sistema comprometido se instalan herramientas que redireccionan el trfico a una maquina completamente controlada por el atacante. Ataques man-in-the-middle: El atacante se posiciona en el medio de una comunicacin entre dos usuarios legtimos y captura el trfico dirigido a uno de ellos o a ambos. Por ejemplo un ordenador que captura el trfico que fluye de manera inalmbrica sin ir dirigido a el. Desbordamiento (Overflow) de buffer: Como consecuencia de alguna vulnerabilidad del cdigo de un programa se produce una escritura de informacin en memoria fuera de la zona reservada para dicho programa, puede suponer que los datos legtimos sean sobrescritos y por lo tanto perdidos.
En general los ataques de acceso son detectados analizando los LOGS de los sistemas operativos y aplicaciones de control de acceso, por ejemplo CSACS Los ataques man-in-the-middle suelen ser detectados por haber un trfico de red inusualmente grande y se puede hacer a travs de software de monitoreado de red.
Cisco Public
45
Ataques de acceso (y IV)

Explotacin de confianza:
Es un conjunto de tcnicas utilizadas para sacar ventaja de una relacin de confianza en la red
Ejemplos:
En una red corporativa con una DMZ donde se albergan los servidores, el comprometer un servidor puede hacer lo mismo con los dems, si tienen establecidas relaciones de confianza entre ellos. En una red corporativa pueden producirse graves problemas si un sistema que est fuera de las reas protegidas tiene establecida una relacin de confianza con un sistema que est en un rea desprotegida Escalado de privilegios Problema de autorizacin, no de autenticacin Soluciones: Restricciones severas en el establecimiento de relaciones de confianza Nunca confiar completamente en sistemas ubicados fuera de las zonas protegidas por firewall Limitar el uso de protocolos
Cisco Public
46
Ataques de acceso (y V)
Redireccin de puertos:
Es un tipo especial de ataque de explotacin de confianza que utiliza a un equipo comprometido para pasar trfico a travs de un firewall u otro dispositivo intermedio que en condiciones normales lo descartara. Si se compromete un equipo ubicado en la DMZ, este puede ser utilizado para alcanzar la red interna. Soluciones:
Modelos de confianza adecuados IDS IPS
Cisco Public
47
Ataques de acceso (y VI)

Man-in-the-middle
Requiere que el atacante tenga acceso a los paquetes de datos mientras estos atraviesan la red (trabajador de un ISP) Se utiliza sniffers y protocolos de la capa de red y de la capa de transporte Este ataque permite: Robar informacin Secuestrar sesiones establecidas para obtener acceso a sistemas prohibidos Anlisis de trfico DoS Corrupcin de la informacin transmitida Introduccin de nueva informacin no vlida en los sistemas
Cisco Public
48
Ataques de Denegacin de Servicios (DoS)

Los ataques de DoS buscan la saturacin de los recursos de los servidores, memoria y CPU. Buscan la interrupcin de los servicios, dispositivos o aplicaciones o en su defecto la caida de rendimiento y el aumento de los tiempos de respuesta de dichos sistemas. Puede ocurrir por muchas razones:
Datos recibidos formados incorrectamente de manera maliciosa. Interaccin no esperada entre componentes. Saturacin de recursos producida por ejemplo por un gran numero de peticiones en un muy corto espacio de tiempo, el problema fundamental en este caso es la imposibilidad de detectar la diferencia entre las peticiones legitimas y las no legitimas.
El mayor problema es que en algunas ocasiones son relativamente fciles de producirse. Los ataques DDOS o de denegacin de servicio distribuidos son similares a los DOS (Buscan los mismos objetivos) pero el ataque se produce desde varios origenes distintos y coordinados. Aumentando en consecuencia el trfico generado y la dureza del ataque. Los DDOS suelen realizarse instalando Software Zombie en maquinas que luego seran empleadas desde una ubicacin central como realizadoras de un ataque DOS.
Cisco Public
49
Ataques de Denegacin de Servicios (DoS) (y II)

Los ataques de DoS presentan como principal caracterstica que son muy difciles de evitar:
Son fciles de implementar Provocan un gran dao Debe prestarse una especial atencin a este tipo de ataques
Ataques de DoS clsicos:

Ping de la muerte, SYN flood Fragmentacin de paquetes y reensamblado E-mail bombs Saturacin de CPU Applets, componentes ActiveX, javascript que actan como troyanos o virus. Desconfiguracin de routers Chargen: Este ataque establece una conexin entre servicios UDP provocando un alto ratio de salida de caracteres Saturacin en la red Out-of band Programados: Land.c, teardrop.c, targa.c
Cisco Public
50
Ataques de Denegacin de Servicios (DoS) (y III)

Ping of death
El hacker envia un Echo request en un paquete IP de tamao mayor que el permitido que son 65535 bytes.. El resultado es que la mquina destino se colapsa. Una variante muy peligrosa es enviar paquetes fragmentados ICMP a la hora de reensamblarlos en los buffers destino estos se saturan
Los ataques DDOS Estn diseados para saturar enlaces o servidores con datos espurios, valindose de las mismas estrategias que los ataques DoS, pero realizado a mucha mayor escala.
Cisco Public
51
Ataques de Denegacin de Servicios (DoS) (y IV)

SMURF:
Comienza con el envo de un gran nmero de paquetes ICMP ECHO, dirigidos a direcciones de broadcast dirigido con el fin de que estos paquetes sean multiplicados y devueltos a las direcciones usurpadas Si el dispositivo de enrutamiento final permite los broadcast dirigidos y resuelve la direccin IP de broadcast dirigido a la direccin de broadcast de capa 2, los hosts contestarn al supuesto origen Ejemplo: Un atacante enva un broadcast dirigido a una red de 100 host y el dispositivo atacado, cuya direccin IP se ha usurpado dispone de un enlace de T1 El atacante enva un stream de 768 kbps de pings con la direccin IP origen de la vctima a la red intermedia. Este flujo rebota en dicha red, generando 100 flujos de 768 kbps 76,8 Mbps Contramedidas: Desactivacin del mecanismo de broadcast dirigido
Cisco Public
52
Ataques de Denegacin de Servicios (DoS) (y V)

TCP SYN Flood: Es un ataque de flood. En el que se crean conexiones semiabiertas . En elque el atacante inicia conexiones el servidor el servidor responde con TCP SYN-Ack y espera una respuesta del atacante que nunca llega con lo que al llegar a un numero muy grande de conexiones semiabiertas el servidor de satura.
Cisco Public
53
Ataques de Denegacin de Servicios Distribuidos (DDoS)

Otros ejemplos de DDoS que no estudiamos en este curso sin por ejemplo: Tribe Flood Network son herramientas de ataque distribuido que se utilizan para lanzar ataques de DoS de forma coordinada desde diferentes orgenes a uno o varios objetivos
El atacante dispone de un software master que enva instrucciones de ataque a una serie de servidores TFN que son los que realmente realizan el ataque final
Stacheldraht (alambre de espino): Combina diferentes estrategias de ataque (incluyendo TFN), aadiendo algunas peculiaridades:
Cifrado en las comunicaciones entre el master y los servidores Actualizacin automtica
Cisco Public
54
Mitigacin de los ataques de red

En funcin del tipo de ataque las estrategias para mitigarlo son distintas.
Los ataques de reconocimiento se pueden mitigar:
Autenticaciones fuertes. Por ejemplo OTP que emplea mecanismos de dos factores uno basado en una Token Card y otro basado en un PIN. Encriptado: Puesto que los sniffers capturarn el trafico pero no lo interpretaran. Empleo de software Anti-Sniffer: hablamos de SW que detecte que maquinas estan procesando mucho trfico. Trabajar con infraestruras de conmutacion basadas en switches en las que haya pequeos dominios de colision. Emplear SW IPS tanto Network IPS como HOST IPS que sean capaces de detectar ataques de reconocimiento concretamente barridos de pings y escaneados de puertos.
Los ataques de acceso se pueden mitigar:

Emplear claves seguras y complejas. Deshabilitacion de cuentas innecesarias y de invitado. Emplear si es posible OTP Emplear claves cifradas
Cisco Public
55
Mitigacin de los ataques de red (y II)

Los ataques de acceso se pueden mitigar: (Continuacin)
Empelar el principio de la mnima confianza. Emplear la criptografa en las comunicaciones Aplicar los parches de SO y de aplicaciones correctamente.
Mitigacin de ataques de DOS y DDOS.

Emplear Firewalls Emplear IPS tanto basados en red como basados en host. Muchos dispositivos de Cisco empelan tecnologas anti-spoofing como por ejemplo routers y switches. Aunque QOS no es una medida de seguridad puede emplearse para garantizar siempre un mnimo ancho de banda para servicios de modo que los ataques de DOS no afecten a todas las aplicaciones y servicios.
Cisco Public
56
Mitigacin de los ataques de red (y III)

Las 10 mejores practicas de seguridad en red son las siguientes:
Instalar Patches para prevenir buffer overflow y otros ataques que buscan escalado de privilegios. Deshabilitar servicios y puertos innecesarios. Emplear claves seguras. Control de acceso fisico a los sistemas. Evitar que las paginas WEB acepten en sus entradas caracteres como por ejemplo | ;< > Realizar backups regularmente. Informar a los empleados acerca de la ingeniera social. Encriptar los datos sensibles. Emplear mecanismos de seguridad por HW como FW y mecanismos SW como VPN. Implentar una politica de seguridad para la empresa.
Cisco Public
57

Capitulo 1 Modern Network Security Threats

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Capitulo 1 Modern Network Security Threats

Uploaded by

Copyright:

Available Formats

Modern Network Security Threats

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes (y IV)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes (y V)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Evolucin de la seguridad en redes (y VI)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Drivers para seguridad en redes

2007 Cisco Systems, Inc. Todos los derechos reservados.

Drivers para seguridad en redes.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Drivers para seguridad en redes. (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Drivers para seguridad en redes. (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Organizaciones de seguridad en redes

2007 Cisco Systems, Inc. Todos los derechos reservados.

Organizaciones de seguridad en redes

2007 Cisco Systems, Inc. Todos los derechos reservados.

Organizaciones de seguridad en redes (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Organizaciones de seguridad en redes (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Organizaciones de seguridad en redes (y IV)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Dominios de la seguridad en redes

2007 Cisco Systems, Inc. Todos los derechos reservados.

Dominios de la seguridad en redes

2007 Cisco Systems, Inc. Todos los derechos reservados.

Dominios de la seguridad en redes (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Politica de seguridad (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Politica de seguridad (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Politica de seguridad (y IV)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Virus Gusanos y caballos de Troya

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Se puede activar en un instante determinado o cuando se ejecuta la aplicacin que lo porta.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Introduccin a los conceptos de Vulnerabilidad, Amenaza y Ataque

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.