Seguridad servicios comunicaciones
-
Upload
esteban-bedoya -
Category
Documents
-
view
608 -
download
4
Transcript of Seguridad servicios comunicaciones
SEGURIDAD INFORMÁTICA EN REDES DE ORDENADORES
Manuel Fernández IglesiasXabiel García Pañeda
Índice
� Tema 1: Introducción a la seguridad informática en redes de ordenadores� Tema 2: Anatomía de un ataque a un sistema informático� Tema 3: Vulnerabilidades de un sistema informático� Tema 4: Políticas de seguridad� Tema 5: Criptografía� Tema 6: Protocolos de seguridad� Tema 7: Seguridad perimetral� Tema 8: Legislación sobre seguridad� Tema 9: Sistemas biométricos� Tema 10: Firewalls� Tema 11: Sistemas de detección de intrusiones� Tema 12: Sistemas de gestión de la indentidad� Tema 13: Seguridad en entornos inalámbricos� Tema 14: Informática forense
Bibliografía
� Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004
� Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004
� Seguridad en Redes y Sistemas Informáticos. José M. HuidobroMoya, David Roldán Martínez. Paraninfo. 2005
� Seguridad y Protección de la Información. José Luis Morant, Arturo Ribagorda, Justo Sancho. Editorial Centro de Estudios Ramón Areces, S.A. 1994
� Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003� Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998� Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador
Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005� Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003
Bibliografía
� Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001
� Active Defense. Chris Breton, Cameron Hunt. SYBEX. 1999� Inside Network Perimeter Security. Stephen Northcutt, Lenny
Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003
� Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003
� Computer Forensics. Computer Crime Scene Investigation. John R. Vacca. Thomson. 2005
� Internet Forensics. Robert Jones. O’Reilly. 2005� Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W.
Rose. Addison-Wesley. 2006� File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005� Forensics Discovery. Dan Farmer, Wietse Venema. Addison-
Wesley. 2004
Tema 1: Introducción a la seguridad informática en redes de ordenadores
Manuel Fernández IglesiasXabiel García Pañeda
Introducción
Detenidas 23 personas que estafaron más de dos millones de euros usando virus informáticos
Un grupo internacional de delincuentes que habría estafadohasta dos millones de euros a través de Internet ha sidodesarticulado por la Policía Nacional. El grupo, formado porpersonas de varias nacionalidades, lograba claves y contraseñas de sus víctimas con la ayuda de un 'troyano', y luego las utilizaban para obtener dinero.
http://www.elpais.com/articulo/internet/Detenidas/23/personas/estafaron/millones/euros/usando/virus/informaticos/elpeputec/20060914elpepunet_2/Tes
Introducción
Un virus poco virulento se cuela en los SMS de dos operadoras
Eliles-A, un gusano masivo posiblemente creado por españoles, ha estado enviando mensajes SMS a clientes de Movistar y Vodafone con móviles que funcionen con el sistema operativo Symbian en lasúltimas semanas, según la empresa McAfee. Los mensajes instabana los clientes de estas operadoras a descargar un antivirus gratuito, que en realidad era un virus. Es lo que se llama SMiShing o el phishing trasladado a los mensajes SMS, cada vez más de actualidad: el defraudador envía mensajes SMS con una excusasugerente, para convencer al usuario de que descargue un archivo o visite una página web, donde se le darán cosas gratuitas y otrastretas parecidas.
Introducción
Cuando este descarga el archivo, resulta ser un virus. O, si visita la web, le instalan subrepticiamenteun código malicioso. Eliles-A se propagaba porcorreo electrónico, simulando proceder de alguien quepedía trabajo y adjuntaba su currículum. Quien lo abría, se infectaba con el gusano, que usaba el ordenador para enviar mensajes SMS a númerosaleatorios de Movistar y Vodafone, usando laspasarelas Internet-SMS de ambas operadoras.
http://www.elpais.com/articulo/red/virus/poco/virul ento/cuela/SMS/operadoras/elpeputec/20060914elpcibe nr_2/Tes
Introducción
¿Qué es seguridad?
� La seguridad absoluta es indemostrable. Se habla de fiabilidad.
� Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability):� Confidencialidad: Sólo pueden acceder a los recursos de un
sistema los agentes autorizados.� Integridad: Los recursos del sistema sólo pueden ser
modificados por los agentes autorizados.� Disponibilidad: Los recursos del sistema tienen que estar a
disposición de los agentes autorizados (contrario: denegación de servicio).
¿Qué queremos proteger?
� Los recursos del sistema� Hardware� Software� Datos
� Tipos de ataque a los recursos:� Interrupción: el recurso queda inutilizable o no disponible� Interceptación: captura de un recurso o acceso al mismo� Modificación o destrucción: Interceptación y manipulación del
recurso� Fabricación: generación de recursos similares a los atacados
¿De qué nos queremos proteger?
� De todos aquellos agentes que puedan atacar a nuestros recursos� Personas: empleados, ex-empleados, curiosos,
piratas, terroristas, intrusos remunerados� Amenazas lógicas: software defectuoso,
herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami.
� Catástrofes
Algunos ejemplos
� Un ex-empleado se cuela en nuestra empresa después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó
� Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento
� Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave sin darse cuenta. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa
¿Cómo nos podemos proteger?
1. Análisis de amenazas2. Evaluación de (posibles) pérdidas y su probabilidad3. Definición de una política de seguridad4. Implementación de la política: mecanismos de
seguridad- De prevención: durante el funcionamiento normal del sistema- De detección: mientras se produce un intento de ataque- De recuperación: tras un ataque, para retornar a un
funcionamiento correcto: Análisis forense
Vulnerabilidad
La vulnerabilidad de una organización depende de:� El grado de publicidad de la organización� El coste de los ataques� La exposición de la organización a los ataques externos� La exposición de la organización ante ataques internos, o ante la
facilitación de servicios (involuntaria o consciente) desde el interior
En definitiva, depende de la:� Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o
destruir información?� Confianza: ¿En qué medida se puede contar con los usuarios?
Amenazas
Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos.
� ¿Los malos van a tratar de actuar sobre mi sistema?� ¿Puede ocurrir que elementos no deseados accedan (leyendo o
modificando) información importante para mi organización?� ¿Puede ocurrir que la reputación de mi organización se vea
comprometida?
Amenazas: Más peligrosas y más fáciles de usar
Packet Forging/ Spoofing
Sofisticación de las herramientas de Hacking
19901980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
Conocimiento técnico requerido
Alto
Bajo 2000
DDOS
Juan Laje – Cisco Systems
Tipos de amenazas
� Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo
� Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas...
� Utilización de la información para usos no previstos. Puede venir del exterior o del interior
� Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad
� Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios...
� Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización
Algunos ejemplos de amenazas lógicas
� Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huesped)
� Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus
� Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas
� Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema
� Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta
� Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing”
� Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización
Estadísticas de la amenaza
� Fuente: Estudio del CSI/FBI de 2001�94% detectaron virus�91% detectaron uso abusivo de la red�40% detectaron penetración en sistemas�36% detectaron ataques de DOS
�www.gocsi.com
Estadísticas de la amenaza
� El crimen computarizado no desciende� 35% (186 encuestados) estaban dispuestos a (o
podían) cuantificar pérdidas�Sobre 400 millones de euros en pérdidas financieras�En contraste, en el 2000, 249 encuestados comunicaron unos 300 millones en pérdidas
� 1997-2001 pérdidas totales = más de 1.000.000.000 de euros
�www.gocsi.com
Estadísticas de la amenaza
� Honeynet Project (project.honeynet.org)�Grupo de investigación dedicado a aprender las herramientas, tácticas y motivaciones de la comunidad de hackers y a compartir las lecciones aprendidas�Enfoque en dos áreas:
�Medir la agresividad de la comunidad de hackers�Evaluar el concepto de Alerta y Predicción Temprana
� Sección española (www.honeynet.org.es/es/)
Estadísticas de la amenaza
� Montan honeypots y honeynets� Fáciles de atacar� Parecen reales� Bloquean
comunicaciones exteriores
� Monitorizan el sistema� Estudian el
comportamiento de los atacantes
Estadísticas de la amenaza
� Honeynet Project�Analizando el pasado ...
�Los resultados asustan (1 servidor comprometido a los 15 minutos de estar en la Internet)�La comunidad de hackers es MUY agresiva�No se hicieron intentos de anunciar los “éxitos”
�Prediciendo el futuro�Análisis estadístico de meses de actividad
Propagación del Code Red19 de Julio, Media Noche - 159 Hosts Infectados
Propagación del Code Red19 de Julio, 11:40 am - 4,920 Hosts Infectados
Propagación del Code Red20 de Julio, Media Noche - 341,015 Hosts Infectados
Ejemplos de signos de ataque
� El sistema se para� Discrepancias en la información sobre las cuentas (p. ej.
/usr/admin/lastlog disminuye a veces)� Intentos de escritura en los ficheros del sistema� Algunos ficheros desaparecen� Denegación de servicio (el sistema pasa a monousuario,
y ni siquiera el administrador puede entrar)� Las prestaciones del sistema son inexplicablemente
bajas� Sondas sospechosas (logins incorrectos repetidos
desde otro nodo).
Ejemplos de signos de ataque
� Logins desde lugares o a horas no habituales� Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.)� Cambios en los ficheros de claves, listas de grupos, etc.� Cambios en ficheros de configuración del sistema, en bibliotecas,
en ejecutables, etc.� Cambios en los datos: páginas WWW, servidores FTP, applets,
plugIns, etc.� Herramientas dejadas atrás por el atacante: Caballos de Troya,
Sniffers, etc.� Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail)
no justificables� Interfaces de red en modo promiscuo
Ejemplos de agujeros en la seguridad
� Claves fáciles de adivinar, o claves por defecto� Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de
grupo� Servicios no seguros mal configurados (tftp, sendmail, ftp)� Servicios no seguros e inútiles (finger, rusers, rsh)� Ficheros de configuración de la red o del acceso no seguros
(entradas + en configuración NIS)� Consolas inseguras� Protección de acceso y propiedad de ficheros sensibles mal
configurada.� Versiones no actualizadas del sistema operativo.� Conexiones telefónicas inseguras� Política de copias de seguridad inexistente o mal diseñada.
Contramedidas
� Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos:� Estática (username/password)� Robusta (claves de un solo uso, firmas electrónicas)� Continua (firmas electrónicas aplicadas a todo el contenido de la
sesión)� Control de la adquisición y actualización del software.
Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias
� Cifrado. Proporciona confidencialidad, autenticidad e integridad
� Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc.
Contramedidas
� Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc.
� Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc.
� Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.
Tema 2: Anatomía de un ataque a un sistema informático
Manuel Fernández IglesiasXabiel García Pañeda
Clasificación
� Según el origen:� Externo. Realizados desde el exterior del sistema � Interno. Realizados desde el interior del sistema
� Según la complejidad:� No estructurado. No coordinan diferentes
herramientas o fases. Suelen ser inocentes � Estructurado. Se enfocan como un proyecto. Tienen
diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos
Anatomía de un ataque
Búsqueda
Rastreo
Enumeración
Acceso
Obtención de privilegios
Pilfering
Borrandolas huellas
Puertastraseras
Denegaciónde servicio
Anatomía de un ataque.Búsqueda
� Objetivo� Recogida de información, ingeniería social,
selección de rangos de direcciones y espacios de nombres
� Técnicas� Búsquedas en información pública
(Altavista con directivas link: o host:)� Interfaz web a whois� ARIN whois� DNS zone transfer (nslookup)� Reconocimiento de redes (traceroute)
Anatomía de un ataque.Búsqueda
� Contramedidas� Control del contenido de la
información pública� Precaución con la información de
registro� Seguridad en DNS (p. ej. no permitir
las transferencias de zona)� Instalación de sistemas de
detección de intrusiones (NIDS)
Anatomía de un ataque.Rastreo (scanning, barrido)
� Objetivo� Identificación de equipos y servicios.� Selección de los puntos de entrada más
prometedores� Técnicas
� Ping sweep (fping, nmap)� Consultas ICMP (icmpquery)� TCP/UDP port scan (Strobe, udp-scan,
netcat, nmap, SuperScan, WinScan, etc.)� Detección del sistema operativo (nmap,
queso)� Herramientas de descubrimiento automático
(Chaos)
Anatomía de un ataque.Rastreo
� Contramedidas� Herramientas de detección de ping
(Scanlogd, Courtney, Ippl, Protolog)� Configuración adecuada de los
routers de frontera (access lists)� Cortafuegos personales,
herramientas de detección de rastreo (BlackICE, ZoneAlarm)
� Desconectar servicios inútiles o peligrosos
Anatomía de un ataque.Enumeración
� Objetivo� Descubrir cuentas de usuario válidas y recursos
compartidos mal protegidos� Técnicas
� Listados de cuentas (finger)� Listados de ficheros compartidos (showmount,
enumeración NetBIOS)� Identificación de aplicaciones (banners, rpcinfo,
rpcdump, etc.)� NT Resource Kit
� Contramedidas� Las del rastreo� Control del Software� Formación de los usuarios
Anatomía de un ataque.Acceso
� Objetivo� Ya disponemos de información suficiente
para intentar un acceso documentado al sistema
� Técnicas� Robo de passwords (eavesdroping) y
crackeado de passwords (Crack, John theRipper)
� Forzado de recursos compartidos� Obtención del fichero de passwords� Troyanos y puertas traseras (BackOrifice,
NetBus, SubSeven)� Ingeniería social
Anatomía de un ataque.Acceso
� Contramedidas� Control de las actualizaciones del
software� Control en la instalación o ejecución
de aplicaciones� Cortafuegos personales, detección
de intrusiones� Educación de los usuarios
(selección de buenas passwords)� Auditoría e históricos
Anatomía de un ataque.Obtención de privilegios
� Objetivo� Obtener permisos de administrador a partir
de los permisos de usuario
� Técnicas� Vulnerabilidades conocidas� Desbordamiento de buffers, errores en el
formato de cadenas, ataques de validación de entradas
� Capturadores de teclado� Las del acceso
� Contramedidas� Las del acceso
Anatomía de un ataque.Pilfering
� Objetivo� Nueva búsqueda de información para
atacar a otros sistemas de confianza
� Técnicas� Evaluación del nivel de confianza (rhosts,
secretos LSA)� Búsqueda de passwords en claro (bases de
datos, servicios Web)
� Contramedidas� Las del acceso� Herramientas de monitorización de red� Actuaciones en el nivel de arquitectura
Anatomía de un ataque.Borrando las huellas
� Objetivo� Una vez que se tiene el control total del
sistema, ocultar el hecho al administrador legitimo del sistema
� Técnicas� Limpieza de logs� Ocultación de herramientas� Troyanos y puertas traseras
� Contramedidas� Gestión de históricos y monitorización, a
nivel de red y a nivel de host.� Control del SW instalado
Anatomía de un ataque.Creación de puertas traseras
� Objetivo� Permiten a un intruso volver a entrar en un
sistema sin ser detectado, de la manera más rápida y con el menor impacto posible
� Técnicas� Cuentas de usuario ficticias, robadas o inactivas� Trabajos batch� Ficheros de arranque infectados, librerías o
núcleos modificados� Servicios de control remoto y caballos de Troya
(Back Orifice)� Servicios de red inseguros (sendmail, rhosts,
login, telnetd, cronjob)� Ocultación del tráfico de red y ocultación de
procesos
Anatomía de un ataque.Creación de puertas traseras
� Contramedidas� Básicamente, las del acceso
(control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.)
� Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras).
Anatomía de un ataque.Denegación de servicio
� Objetivo� Si no se consigue el acceso, el atacante
puede intentar deshabilitar el objetivo
� Técnicas� Inundación de SYNs� Técnicas ICMP� Opciones TCP fuera de banda (OOB)� SYN Requests con fuente/destino idénticos
� Contramedidas� Configuración cuidadosa de los cortafuegos
y routers.
Ejemplo de ataque: DDOS
� Ataque por denegación de servicio distribuido (DDOS)
Máquina origen
Zombi
Máquina objetivo
Ejemplo de ataque: DDOS
� Muy eficaz. Deja rápidamente a la máquina fuera de combate
� Difícil de parar. Si los zombis están bien elegidos estarán en diferentes subredes. Serácomplicado cortar el flujo de tráfico
� No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo
Ejemplo de ataque: Inserción de código SQL
� Formulario Web donde se solicita nombre de usuario y clave
� En el servidor se utilizan los datos para rellenar la consulta SQL:
� Se introduce en el formulario:
SELECT user_id FROM users WHERE strlogin=‘xuan’ AND st rpassword=‘aab’
usuario clave
Usuario: cualquier cosaClave: “ OR 1=1 --
Clave: “ OR 1=1; DROP table users; --
Ejemplo de ataque: Inserción de código SQL
� Se accede a la información del sistema� En un principio a los nombres de usuario y sus claves
(codificadas, supuestamente)
� Se puede eliminar información del sistema� Sería necesario conocer el nombre de las tablas� SELECT * FROM PG_CLASS� SELECT relname FROM PG_CLASS
� Ataca al elemento más valioso de un sistema: LA INFORMACIÓN
Ejemplo de ataque: Fishing bancario
� Basado en la idea del CazaBobos� Se rastean páginas Web localizando direcciones de
correo� Se hace un mailing a dichas direcciones
� Se disfraza la página Web haciendo parecer la de un banco� Se solicita entrar una dirección para solucionar un posible
problema de seguridad (algo que llame la atención al usuario para que acceda)
� Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante
Ejemplo de ataque: Fishing bancario
Dirección real: http://rumager.com/...Dirección diferenteProtocolo no seguro
Ejemplo de ataque: Fishing bancario
� Entramos en la página
� Nos pide el nombre de usuario y la contraseña del supuesto banco
� La introducimos� No informa que el problema ha sido solucionado� !TIENEN NUESTRO NOMBRE DE USUARIO Y
NUESTRA CONTRASEÑA!
Ejemplo de ataque: IP Spoofing
� Se suplanta la personalidad de un equipo� Es un ataque muy sofisticado
SuplantadorIP: 156.35.14.2
SuplantadoIP: 156.35.14.2
Se modifican las rutas
Denegación de servicio
Ejemplo de ataque: IP Spoofing
� Es necesario atacar a muchas máquinas� Consigue que el receptor de los mensajes
se crea que es el emisor legítimo� Puede ser extremadamente peligroso
Ejemplo de ataque: Mitnick/Shimomura
� Compañeros en el National Security Agency� Mitnick estuvo extrayendo información del
ordenador de Shimomura durante meses� Existieron una serie de premisas:
� Mitnick, mediante ingeniería social obtuvo direcciones IP de ordenadores de colaboradores de Shimomura. Direcciones en las que confiaba el ordenador de la víctima
� El atacante intentó abrir varias sesiones TCP con la victima para determinar como se elegía el número de secuencia cada vez. Se incrementaba en 128000
� El atacante sabía que Shimomura utlizaba UNIX y tenía activados los comandos remotos de Berkeley
Ejemplo de ataque: Mitnick/Shimomura
� Pasos:1. El atacante entía un TCP SYMM flood a un equipo,
llamémosle A, en el que confía la víctima2. El atacante envía un paquete, con suplantación de
dirección IP fuente a la víctima pretendiendo ser A. Son el bit SYN habilitado. Paso inicial de conexión en TCP
3. La víctima contesta con un paquete SYM, ACK. A no recibe el paquete. El atacante que no recibe tampoco este paquete debe conocer el número de secuencia
Ejemplo de ataque: Mitnick/Shimomura
� Pasos:4. El atacante simula el mensaje 3 de creación de la
sesión TCP5. Por la conexión TCP envía comando para que
añada una entrada comodín (‘++’) al fichero ./rhost. El ordenador de Shimomura comienza a confiar en cualquiera
6. El atacante envía un mensaje TCP con el bit de RST (reset) activado para cortar la conexión
Tema 3: Vulnerabilidades de un sistema informático
Manuel Fernández IglesiasXabiel García Pañeda
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
10
1111
1213
14
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
2
3
4
5
6
7
8
9
10
1111
1213
14
1:
Control de acceso al router inadecuado:ACLs mal configuradas en el router puedenpermitir la fuga de información a través depaquetes ICMP, IP o NetBIOS, y facilitar elacceso no autorizado a servicios dentro de lazona desmilitarizada.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
3
4
5
6
7
8
9
10
1111
1213
142:
Los puntos de acceso remoto no seguros y nomonitorizados proporcionan una de lasmaneras más sencillas de acceder a una redcorporativa. Los usuarios remotos se suelenconectar a Internet con pocas protecciones,exponiendo al ataque información sensible
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
4
5
6
7
8
9
10
1111
1213
14
3:
La información disponible puede proporcionarinformación sobre el sistema operativo,versiones de las aplicaciones, usuarios,grupos, recursos compartidos, informaciónDNS (transferencias de zonas), y serviciosabiertos como SNMP, finger, SMTP, telnet,rpcinfo, NetBIOS, etc.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
5
6
7
8
9
10
1111
1213
14
4:
Los servidores que corren servicios innece-sarios (RPC, FTP, DNS, SMTP) pueden serfácilmente atacados.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
6
7
8
9
10
1111
1213
14
5:
La utilización de palabras clave débiles, fácilesde adivinar o la reutilización de palabras claveen las estaciones de trabajo puede comprome-ter los servidores.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
7
8
9
10
1111
1213
146:
Otra vulnerabilidad muy común son lascuentas de invitado, de prueba, o de usuariocon privilegios excesivos.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
8
9
10
1111
1213
14
7:
Servidores de Internet en la zona desmilitari-zada mal configurados, sobre todo elcódigo CGI o ASP, o servidores FTP anónimocon directorios accesibles en escriturapara todo el mundo. SQL injection
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
9
10
1111
1213
14
8:
Unas listas de acceso (ACL) mal configuradasen el cortafuegos o en el router pueden per-mitir el acceso desde el exterior, bien directa-mente, o bien una vez que la zona desmilita-rizada ha sido comprometida.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
10
1111
1213
149:
Software obsoleto, al que no se le han insta-lado los parches recomendados por el fa-bricante, vulnerable, o con las configuracionespor defecto, especialmente los servidoresWWW.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
1111
1213
14
10:
Controles de acceso a los ficheros o a losdirectorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos exportados con NFS en Unix.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
11
10
1213
14
11:
Las relaciones de confianza excesivas endominios NT o entradas en .rhosts y host.equiv en Unix pueden proporcionar a losatacantes acceso no autorizado a sistemasSensibles ( pilfering).
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
11
10
11
13
14
12:
Los servicios sin control de acceso de usuarios, como X Windows permiten a losatacantes la captura de las pulsaciones delteclado.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
11
10
11
12
14
13:
La gestión inadecuada de históricos, la faltade una monitorización adecuada o la faltade servicios de detección de intrusiones tantoen el nivel de red como en los ordenadoresconectados a ella.
Las 14 vulnerabilidades más importantes
ServidorDMZ
CortafuegosRouterfrontera
RouterInterno
ServidorAccesoRemoto
LANinterna
LANinterna
Servidor
EstaciónTrabajo
ServidorEstaciónTrabajo
UsuarioRemoto
OficinaRemota
Internet
ServidorDMZ
1
2
3
4
5
6
7
8
9
11
10
11
1213
14:
La falta de políticas de seguridad aceptadaspor todos y bien definidas y publicadas, asícomo de los procedimientos, normas y guíasde actuación relacionadas.
Tema 4: Políticas de seguridad
Manuel Fernández IglesiasXabiel García Pañeda
Política de Seguridad
� Objetivo�Definir cómo se va a proteger una
organización ante los ataques. Tiene dos partes:� Política general : define el enfoque general:
� Análisis de vulnerabilidad� Identificación de las amenazas
� Reglas específicas : definen las características y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la política general
Política de seguridad
� A nivel general:� Identificar que se ha de proteger� Determinar de que se está tratando de proteger� Determinar cuánto de probables son las amenazas� Implementar medidas que protejan los recursos con
un coste asumible� Revisar el proceso continuamente y hacer mejoras
cada vez que se localiza una debilidad
Política de Seguridad
� Hitos de una buena política de seguridad�Para cada aspecto de la política:
� Autoridad ¿Quién es el responsable?� Ámbito ¿A quién afecta?� Caducidad ¿Cuándo termina?� Especificidad ¿Qué se requiere?� Claridad ¿Es entendible por todos?
Política de seguridad
� Características de una buena política de seguridad (RFC 2196)� Se tiene que poder poner en práctica mediante procedimientos
concretos de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos apropiados.
� No debe ser una entelequia.� Debe ser implementable
� Se debe obligar su cumplimiento mediante herramientas de seguridad , donde sea posible, y mediante sanciones , donde la prevención no sea posible técnicamente.
� No debe tener agujeros, y si los tiene hay que poder detectarlos
� Debe definir claramente las áreas de responsabilidad de los usuarios, los administradores y la dirección.
� Tiene que haber un responsable para toda situación posible
Política de Seguridad
� Componentes de una buena política de seguridad (RFC 2196)� Guía de compra de hardware y software , donde se especifique las funciones
relacionadas con la seguridad requeridas o deseadas.� Una política de privacidad que asegure un nivel mínimo de privacidad en
cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc.� Una política de acceso que defina los niveles de seguridad, los derechos y
privilegios, características de las conexiones a las redes internas y externas, mensajes de aviso y notificación, etc.
� Una política de responsabilidad que defina las responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.)
� Una política de autenticación que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticación remota o el uso de dispositivos de autenticación.
Política de Seguridad
� Componentes de una buena política de seguridad (RFC 2196), cont.� Una declaración de disponibilidad , que aclare las expectativas de los usuarios
en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en la red, etc.
� Una política de mantenimiento que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc.
� Una política de comunicación de violaciones que defina qué tipos de amenazas, y cómo y a quién se deben comunicar.
� Información de apoyo que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.