“El único sistema verdaderamente seguro es aquel … 6...1 “El único sistema verdaderamente...
Transcript of “El único sistema verdaderamente seguro es aquel … 6...1 “El único sistema verdaderamente...
1
������������ � �������������������������� ����������
“El único sistema verdaderamente seguro es aquelque está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados…. y aún así tengo mis dudas”
Eugene Spafford, “Computer Recreations of Worms, Virusesand Code War”, Scientific American, marzo1998, p. 110
2
����������������
�� ���1. Introducción a la Seguridad Informática
1. Conceptos básicos de seguridad- Amenazas de seguridad- Ataques pasivos- Ataques activos- Tipos de ataques
2. Obtención de información de un atacante- Identificar los servicios TCP y UDP- Identificar el Sistema Operativo- Identificar las versiones de los servicios- Identificar vulnerabilidades del sistema
�������������������� ��������������������������������������
�� ���
3
�������������������� ��������������������������������������
�� ���
Antes Durante Después
Detección
Análisis ForensePrevención
Recuperación
Seguridad InformSeguridad Informááticatica
•Conceptos básicos de seguridad•Amenazas de Seguridad•Ataques•Tipos de ataques
•Obtención de información de un atacante•Identificar equipos•Identificar servicios•Identificar SO•Identificar vulnerabilidades
4
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
Amenazas de seguridad
Ataques pasivos / activosAtaques pasivos / activos
������ ��������
��������� ������ �
������
Ataques pasivos:El atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza la red para obtener información de los datos transmitidos
Ataques activos:Estos ataques implican algún tipo de modificación del flujo de
datos o creación de un falso flujo de datos, pudiendo dividirse en cuatro categorías:
• Suplantación de identidad• Reactuación• Modificación de mensajes• Degradación del servicio
�������������������� ����������������������������������
5
Ataques pasivos / activosAtaques pasivos / activos
������ ��������
��������� ������ �
������
Activos Pasivos
�������������������� ����������������������������������
Seguridad InformSeguridad Informááticatica
•Conceptos básicos de seguridad•Amenazas de Seguridad•Ataques•Tipos de ataques
•Obtención de información de un atacante•Identificar equipos•Identificar servicios•Identificar SO•Identificar vulnerabilidades
6
������ ��������
��������� ������ �
������
SniffingSniffingEscuchar los datos que atraviesan la red sin interferir en la conexión.Se usa para descubrir passwords e información confidencial.
Eth1172.26.0.250
Eth1172.26.0.1
Eth2192.168.0.1
ServidorRouter Interno
Eth180.34.31.173
Router Externo
Router Externo
Sniffing
Eth1172.26.0.25/24
Eth2192.168.0.1
Eth180.34.31.173
ServidorRouter Interno
Eth1172.26.0.250
Eth1172.26.0.1
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
SniffingSniffing
Protección: Encriptado de datos (SSH). Servicios de Autentificación y auditoria
�������������������� ����������������������������������
7
������ ��������
��������� ������ �
������
SpoofingSpoofingEl atacante envía paquetes con una dirección fuente incorrecta. Las respuestas se envían a la dirección fuente aparente y no al atacante.
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
SpoofingSpoofingEl atacante envía paquetes con una dirección fuente incorrecta. Las respuestas se envían a la dirección fuente aparente y no al atacante.
�������������������� ����������������������������������
8
������ ��������
��������� ������ �
������
SpoofingSpoofingPuede utilizarse para:* Realizar un ataque de denegación de servicio
(DOS Deney of Service)
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
SpoofingSpoofingPuede utilizarse para:* Realizar un ataque de denegación de servicio
(DOS Deney of Service)
�������������������� ����������������������������������
9
������ ��������
��������� ������ �
������
SpoofingSpoofingPuede utilizarse para:* Realizar un ataque de denegación de servicio
(DOS Deny of Service)
Protección: Encriptación de protocolo
�������������������� ����������������������������������
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
10
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
����� �����
���������
����������
���������
����������
���!����
������ ��������
��������� ������ �
������
HijackingPermite a un atacante robar una conexión de un usuario que ya ha sido autentificado.Generalmente se realiza en el equipo remoto, aunque algunas veces es posible robar la conexión en la ruta
Protección: Filtrado y encriptación: a nivel IP (IPsec) y a nivel de aplicación (TSL, SSL y SSH)
�������������������� ����������������������������������
11
������ ��������
��������� ������ �
������
Explotar bugs del softwareAprovechar errores en la implementación del software para acceder a recursos sin autorización. P.e. comandos inválidos
Protección: Actualización del software
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
Negación de servicioBloquear un determinado número de servicios para que los usuarios legítimos no los puedan utilizar.Para evitar el spoofing, normalmente los routers eliminan los paquetes con direcciones fuente falsas
Protección:•Seguir funcionando con comandos inválidos•Se debe limitar el uso de recursos por una única entidad:
* Número de conexiones* Tiempo de conexión* Tiempo de respuesta del procesador* Cantidad de memoria utilizada* Cantidad de espacio en disco utilizado
�������������������� ����������������������������������
12
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
Estimado usuario,
Hemos detectado algunos ataques desde su cuenta de correo, por lo quesu ordenador debe tener algún virus. Para limpiar su ordenador de virus siga las instrucciones del fichero adjunto
Nuestros mejores deseos,El equipo dominio http://www.dominio.com
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
Estimado usuario,
Recientemente hemos detectado que su ordendor realiza actividadesanómalas en la red. Por tal motivo, hemos realizado un escaneado de puertos de su ordenador y hemos determinado que está infectado con el troyano UPWINZUN (ver 9.41). Para mantener su ordenador y la red de la empresa permanezcan seguros, elimne el fichero donde se encuentra el toryano (c:/windows/upwinzun.exe)
Nuestros mejores deseos,El equipo dominio http://www.dominio.com
13
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
Estimado usuario,
Recientemente hemos detectado que su ordendor realiza actividadesanómalas en la red. Por tal motivo, hemos realizado un escaneado de puertos de su ordenador y hemos determinado que está infectado con el troyano XT93cmt (ver 9.41). Para mantener su ordenador y la red de la empresa limpios de virus, envíenos el fichero (c:/windows/password.list) y una vez que hayamosdesinfectado el fichero se los remitiremos libre de virus.
Nuestros mejores deseos,El equipo dominio http://www.dominio.com
������ ��������
��������� ������ �
������
Ingeniería socialAprovechar la buena voluntad de los usuarios para tomar sus privilegios o para dañar su equipo.
Protección: Autentificación e información
�������������������� ����������������������������������
14
������ ��������
��������� ������ �
������
Phising
Protección: Firma digital, encriptación e información
�������������������� ����������������������������������
Es una variable de la ingeniería social. A través de mensajes de texto “falsificados” y sitios Web fraudulentos engañan a los usuarios con el fin de que revelen datos financieros, datos personales, contraseñas, etc.
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
x
16
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
17
����� ���������������� ������������� ����������������������������������
������ ��������
��������� ������ �
������
������ ��������
��������� ������ �
������
�������������������� ����������������������������������
Protección: Autentificación y filtrado de paquetes
Confianza transitivaAprovechar la confianza UNIX entre usuarios o hosts para tomar sus privilegios:•Usuarios: mediante .rhosts•Host: mediante .equiv
18
������ ��������
��������� ������ �
������
Ataques dirigidos por datosAtaque diferido originado por:•Virus•Gusanos•JavaScript•Caballos de troya
Protección: Antivirus, firma digital e información
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
Enrutamiento fuenteUn atacante que controle un router entre origen y destino es capáz de cambiar un paquete que pase por el router.
Un paquete de ida puede utilizar una ruta diferente a la de vuelta. Si en la idea pasa por un router comprometido, el atacante puede ver los paquetes.
Protección: Filtrado de paquetes y encriptación
�������������������� ����������������������������������
Protección: Filtrado de paquetes
Mensajes de control de redUtilizar un mensaje ICMP (redirect o destination unreacheable) para hacer pasar los paquetes por un router comprometido
19
������ ��������
��������� ������ �
������
ReenvíoUna vez capturado un paquete, el atacante puede causar un daño si envía posteriormente el mismo paquete capturado al receptor.
Exiten dos tipos de reenvio:•Los que identifican partes de información (p.e. password)•Los que simplemente envían un paquete compelto
El reenvío no funciona con paquetes TCP ya que usan un número de secuencia, a no ser que la secuencia sea fácilmente predecible
Protección: Rechazar paquetes duplicados, por ejemplo usando marcas de tiempo o números de secuencia
�������������������� ����������������������������������
������ ��������
��������� ������ �
������
Adivinación de passwordPrueba sistemática de password de un usuario
Protección: Información (cambiar password) y firma digital
�������������������� ����������������������������������
TempestBarrido de emisión de electrones de los CRTs para observar la información en pantalla de un usuario.
Protección: Paredes de plomo y hormigón
Rubber-HoseUtilizar soborno o tortura para obtener información sobre password y topologías.
Protección: Defensa personal
20
Seguridad InformSeguridad Informááticatica
•Conceptos básicos de seguridad•Amenazas de Seguridad•Ataques•Tipos de ataques
•Obtención de información de un atacante•Identificar equipos•Identificar servicios•Identificar SO•Identificar vulnerabilidades
�������������������� !������!�������������"�������������"������������
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
21
�������������������� !������!�������������"�������������"������������
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
?
???
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
whois
Mensajes ICMP (ping –sP <id_red>
Solución: Filtrar mensajes ICMP
22
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Linux (nmap)
Windows (SuperScan)
Solución: Filtrar puetos, cambiar puertos (80 ����8080)
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Por tanto, a partir de la detección de esas pequeñas diferenciaspodemos realizar suposiciones razonables del sistema operativoinstalado.
El rastreo de pilas es una técnica extremadamente potente quenos permite averiguar el sistema operativo de un host.
En esencia, existen muchos matices que diferencian laimplementación de pilas IP de los fabricantes.
Cada fabricante interpreta a su manera la normativa RFC.
23
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Algunos sondeos que se realizan:Algunos sondeos que se realizan:
•Sondeo Bogus FlagSe introduce una bandera TCP indefinida de un paquete SYN. Algunos SO (p.e. Liinux)responden con esta bandera en el paquete de respuesta
•Muestreo del número de secuencia inicial (ISN)Se busca el patrón en la secuencia inicial (semilla pseudoaleatoria)
•Sondeo FIN.Se envía un paquete FIN a un puerto abierto. La normativa RFC establece que no hayque responder. Sin embargo, muchas implementaciones (p.e. Windows NT) respondecon un paquete FIN/ACK.
•Supervisión del “bit de no fragmentación”Algunos SO desactivan esta opción para mejorar su rendimiento
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Algunos sondeos que se realizan:Algunos sondeos que se realizan:
•Valor ACKLas pilas difieren en el valor de respuesta del paquete ACK. •Mismo valor•Valor +1
•Apagado del mensaje de error ICMPAlgunos sistemas cumplen la normativa RFC 1812 y limitan la velocidad con la quese envían los mensajes de error
•Tamaño de ventana inicialSe analiza el tamaño inicial del la ventana en los paquetes de resupesta. En algunasimplementaciones este tamaño es único.
24
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Algunos sondeos que se realizan:Algunos sondeos que se realizan:
•Integridad del eco de los mensajes de error ICMPAlgunos SO alterar las cabeceras IP cuando devuelven mensajes de error ICMP
•Tipo de servicio (TOS)En los mensajes del tipo “ICMP port unreachable” se pueden examinar el TOS.La mayoría utiliza 0 pero existen otras posibilidades.
•Cita de mensajes ICMPLos SO difieren en la cantidad de información que se cita cuando aparecen mensajesICMP.
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Linux (xprobe2)
Linux (nmap)
Solución: Filtrar mensajes ICMP, recompilar el kernel
25
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Solución: Cambiar banderas
Linux (amap)
Linux (amap)
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Solución: Cambiar banderas
Windows (Metabase Editor)
26
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
www.thc.org
www.webzcan.com
27
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Windows (GFI LANguard )
Solución: Desactivar “Compartir impresoras y archivos”
� "�������
����� �����
� "�#��"����������
� "��$
� "�#!����%�!� � ��
� "����������
�������������������� !������!�������������"�������������"������������
Solución: Apagar el ordenador
Linux (nessus)
28
PrevenciPrevencióón de los n de los Sistemas InformSistemas Informááticosticos
•Seguridad Física•Seguridad Lógica
•Protección del equipo•Protección de la red
���#�������#��������
Es recomendable:•Aislar los elementos hardware (puertas de seguridad, aislamientos térmicos, etc..)•Aislar los elementos del cableado para que no puedan ser interrumpidos o interceptados.•No situar los equipos en el suelo para evitar una posible inundación•Ni en altura para que no se caigan•Asegurar las condiciones eléctricas (SAI)•Mantener la temperatura del recinto
Sin duda el hardware de un sistema informático es lo más caro, pero también es lo más fácil de sustituir.
Las principales amenazas son:Las personasIncendios, inundaciones,Los catástrofes naturalesTerremotos, etc.
���� � �&����
���� � �'(����
���� � ��(����
29
PrevenciPrevencióón de los n de los Sistemas InformSistemas Informááticosticos
•Seguridad Física•Seguridad Lógica
•Protección del equipo•Protección de la red
���� � �&����
���� � �'(����
���#�������#��������
General (ejecutar de forma periódica)
Actualizar las aplicaciones y servidoresUtilice una lista de distribución de seguridad (p.e. www.hispasec.com o consulte la web del fabricante.
Bloquear los ficheros de configuraciónMarque los ficheros de configuración como inalterables (p.e. en linux con el comando chattr)
Comprobar la integridad del sistema de ficherosUtilice aplicaciones que le permitan verificar la integridad de la información almacenada en los ficheros con herramientas (p.e. tripwire). Para detectar cualquier cambio en el sistema de ficheros el programa ejecuta varios checksums de todos los binarios importantes y ficheros de configuraicón, y los compara con una base de datos con valores de referencia aceptados como válidos.
���� � �!����
30
���� � �&����
���� � �'(����
���#�������#��������
Comprobar la integridad de las contraseñasUtilice programas de fuerza bruta para comprobar la fortaleza de las contraseñas.(p.e. John de Ripper)
Comprobar la seguridad del sistemaUtilice programas que le permitan detectar vulnerabilidades de su sistema(p.e. nessus GFILanGuard)
General (ejecutar de forma periódica)
���� � �!����
���� � �&����
���� � �'(����
���#�������#��������
Windows
���� � �!����
31
���� � �&����
���� � �'(����
���#�������#��������
Linux
Servicios de red•/etc/inetd Desactiva los servicios que no utilices y activa los tcp_wrappers para aceptaro denegar las conexiones•Fingered: Desactiva el servicio •Comandos “r”. (p.e. rlogin, rsh, rcp) Evita utilizar los comandos r e indica los equipos que tienen acceso en el fichero /etc/hosts.equiv•/etc/services. Deshabilita los servicios que no utilices•Terminales seguras. El fichero /etc/securetty permite especificar las consolas a lasque tiene acceso el root. Deshabilita las consolas que no necesites.•RPC. Deshabilita el servicio•Trivial FTP. Si utilizas el servicio guarda los datos del servidor en un sistema de ficherosindependiente
���� � �!����
���� � �&����
���� � �'(����
���#�������#��������
Linux
Red•Filtrado de paquetes. Utiliza el filtrado de paquetes para restringir el tráfico de entraday de salida. Asegúrate de que sólo los equipos del dominio pueden intercambiar tráficocon el exterior.•Ataques DoS. Desactiva la dirección IP de broadcast en la red. Filtra los paquetes queno tenga una correcta dirección IP de origen.•Encriptaicón. Utiliza tecnologías de encriptación para cifrar los datos de la red
Sistema de Ficheros•Usuarios. Enjaula a los usuarios en un sistema de ficheros independiente•Ejecutables por el root. Asegúrese de que todos los ficheros que utiliza el roottenga como propietario al root.•Tiger. Los tiger permiten analizar el sistema de ficheros para encontrar maneras de obtener privilegios de root (rootkits).
���� � �!����
32
���� � �&����
���� � �'(����
���#�������#��������
Linux
Usuarios•General.
•Deshabilite las cuentas que no necesite.•Modifique el fichero /etc/login.defs para establecer la vigencia de las contraseñas•Compruebe que las contraseñas están en /etc/shadow
•Root•Limita el número de conexiones de la cuenta root•Comprueba regularmente el log del fichero su
Sistema•Arranque y apagado. Deshabilite el comando de apagado a través del teclado modificando el fichero /etc/inittab•Registro del sistema.
•Examine los ficheros de registro•Asegure los ficheros de registros
���� � �!����
PrevenciPrevencióón de los n de los Sistemas InformSistemas Informááticosticos
•Seguridad Física•Seguridad Lógica
•Protección del equipo•Protección de la red
33
���� � �&����
���� � �'(����
�������������������� ��������������������������������������
•Seguridad lógicaFundamentos criptográficos
Criptografía (algoritmos simétricos, algoritmos asimétricos, funciones hash,..)
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógicaFundamentos criptográficos
Seguridad perimetralCon la interconexión de equipos informáticos en red, la especialización de algunos de ellos en determinados servicios (servidores) y, la conexión a Internet para ofrecerlos haavivado la necesidad de proteger las redes privadas antes posibles intentos de infiltración.
Criptografía (algoritmos simétricos, algoritmos asimétricos, funciones hash,..)
34
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Elementos
NAT: Permite cambiar las direcciones y/o puertos de origen y destino. Y de esta forma permite aislar el tráfico de una red.
Proxy: Actúa como intermediario entre un cliente y un servidor.Al trabajar en la capa de aplicación, permite realizar filtros más inteligentes (p.e.por contenido).
Router: Es el encargado de filtrar o redirigir los paquetes de una red
Switch: Permite reducir las colisiones de la red y evita la utilización de sniffers.
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Router de protección:
����
�
����
�
����
�
��������
��������
���
�������
Router
����
�
����
�
����
�
��������
��������
���
�������
RouterRouter
35
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Host de base dual:
����
�
����
�
����
�
��������
��������
���
�������
����
�
����
�
����
�
��������
��������
���
�������
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Host bastión seleccionado:
36
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Zona desmilitarizada o zona neutra:
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Subredes seleccionadas
37
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
•Seguridad lógica – Seguridad perimetral - Topologías
Múltiples subredes seleccionadas
Router Exterior
Dual-homed host
Red Interna
Router Interior
Red de perímetro 1
Red de perímetro 2
Router Exterior
Dual-homed hostDual-homed host
Red Interna
Router Interior
Red Interna
Router Interior
Red InternaRed Interna
Router Interior
Red de perímetro 1
Red de perímetro 2
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADEN LOSEN LOS
SISTEMAS INFORMSISTEMAS INFORMÁÁTICOSTICOS
(DETECCI(DETECCIÓÓN)N)
38
����������
����� �����
���!����
���������
����������
HoneyPot (Tarros de miel)HoneyPot (Tarros de miel)
Simula uno o más sistemas fáciles de atacar con el fin detentar a potenciales intrusos.
Ordenador con cebo
Atacante
Informacióndel atacante
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
¿¿Por quPor quéé son necesarios los IDS?son necesarios los IDS?
Los cortafuegos proporcionan una eficaz primeralínea de defensa, pero pueden dar una falsa seguridad
Mala configuración del cortafuegosErrores en software o hardwarePobre política de seguridad
INSEGURIDAD
�������������������� ��������������������������������������
39
����������
����� �����
���!����
���������
����������
¿¿No basta con un cortafuegos?No basta con un cortafuegos?
Un cortafuegos deja acceder a algún puerto (ej. 80 web)Un cortafuegos normalmente deja salir información
Por ejemplo: Gusano NIMDA
NIMDA se propagó explotando un agujero de IIS, enviando comandos para su ejecución en el servidora través del puerto 80.
NIMDA establecía sesiones TFTP desde dentro haciafuera. ¡Burlando el cortafuegos!
Alrededor del 80% de los ataques se hacen desde dentro
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
Los IDS nos permiten detectar actividad inadecuada oanómala dentro de un sistema informático.
Un buen IDS será capaz de detectar las acciones de atacantes externos así como la actividad anormal deatacantes internos.
¿¿QuQuéé son los IDS?son los IDS?
�������������������� ��������������������������������������
40
����������
����� �����
���!����
���������
����������
¿¿QuQuéé son los IDS?son los IDS?Se considera como intrusión las siguientes actividades:
Reconocimiento:•Barridos de pings•Exploración de puertos•Identificación del SO•Intento de inicio de sesión por ataques de fuerza bruta
Explotación:•Utilizar agujeros de servidores web, aplicaciones, etc•Agujeros de seguridad en los navegadores de los usuarios•Lectura de correo•Enmascaramiento de IP•Ataques DNS,etc.
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
¿¿QuQuéé son los IDS?son los IDS?
Denegación de servicio:•Ping de la muerte•Inundación SYN•WinNuke•Ataques distribuidos, etc
�������������������� ��������������������������������������
41
����������
����� �����
���!����
���������
����������
TTéécnicas de IDScnicas de IDS
Existen dos tipos de técnicas de IDS:•Detección de patrones anómalos•Detección de usos incorrectos (firmas)
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
TTéécnicas de IDS cnicas de IDS –– DetecciDeteccióón de patrones ann de patrones anóómalosmalos
Si un usuario no conecta fuera del horario de oficinaSi conecta a las 2:30 (EXTRAÑO)
Un usuario inicia sesión 2 o 3 veces al día,Entonces 30 inicios de sesión (EXTRAÑO)
Si un usuario no accede a la BD empresarial ni compila código Si compila (EXTRAÑO)
Si hay una sobrecarga de la red � EXTRAÑO
�������������������� ��������������������������������������
42
����������
����� �����
���!����
���������
����������
TTéécnicas de IDS cnicas de IDS –– DetecciDeteccióón de firmasn de firmas
Todas las herramientas de hacking dejan una huellaen el servidor, ya sea en el sistema de archivos, registro,..
Por lo tanto, se trata de buscar la presencia de éstas firmas
PROBLEMA:
¿¿¿Cómo detecto firmas de ataques novedosos???
No se puede, por eso es muy importante tener una BDcon todas las firmas que vayan apareciendo.
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
Tipos de IDSTipos de IDS
IDS basados en host (HIDS)
IDS basados en red (NIDS)
�������������������� ��������������������������������������
43
����������
����� �����
���!����
���������
����������
IDS basados en red (NIDS)IDS basados en red (NIDS)
Ventajas:
•Un solo NIDS puede detectar ataques en todos los equipos de una red.•Resultan independientes de la plataforma•Son capaces de detectar manipulación de cabeceras IPo ataques de denegación de servicio•Son casi invisibles
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
IDS basados en red (NIDS)IDS basados en red (NIDS)
Desventajas:
•Resultan ineficientes con tráfico cifrado•Su funcionamiento se vuelve imprevisible en redesde alta velocidad (GBps)•Si se produce una congestión de la red, el NIDS podríadescartar paquetes.•Debido a que trabajan en sistemas heterogéneos podríanno se capaces de definir la relevancia de un ataque.
�������������������� ��������������������������������������
44
����������
����� �����
���!����
���������
����������
IDS basados en host (HIDS)IDS basados en host (HIDS)
Ventajas:
•Detectan mejor los ataques desde dentro de la red ya que detectan inicios de sesión, cambios en archivos, etc.•Son capaces de asociar usuarios + programas = efectos•Forman parte del propio blanco•No se necesita monitorizar todo el tráfico de la red
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
IDS basados en host (HIDS)IDS basados en host (HIDS)
Desventajas:
Al monitorizar los cambios en el sistema, se descubren los ataques una vez realizados.
•Si el host ha sido atacado � no podemos confiar en sus informes.
•Si el host cae � no envía ningún informe
Tan sólo ve lo que le pasa a él y no ve ningún ataque ensu conjunto.
Difícil implantación (SO diferentes)
�������������������� ��������������������������������������
45
����������
����� �����
���!����
���������
����������
IDS basados en host (HIDS)
IDS basados en red (NIDS)ConclusionesConclusiones
�������������������� ��������������������������������������
����������
����� �����
���!����
���������
����������
ConclusionesConclusiones
�������������������� ��������������������������������������
46
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADEN LOSEN LOS
SISTEMAS INFORMSISTEMAS INFORMÁÁTICOSTICOS
(RECUPERACI(RECUPERACIÓÓN)N)
47
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Puntos a tener en cuenta
¿Qué se debe copiar?
¿Dónde se encuentra?
¿Quién y donde se realizará la copia?
¿Bajo qué condiciones se realizará la copia de seguridad?
Tras la detección de que la copia de seguridad ha sido comprometida, una de las tareas del administrador será recuperarlo.
Los mecanismos preventivos pueden evitar muchos problemas y ataques pero no garantizan estar exentos de riesgo.
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Completa
Se realiza una copia completa del sistema de archivos
Ventajas:Se copian todos los ficherosFácil recuperación total y parcial del sistema
Desventajas:Consumo del espacio
TiposTipos
48
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Incremental
Se realiza una copia de los ficheros modificados o creados desde la última copia que se realizó.
Ventajas:Más rápida de realizar que las copias completasRequiere menos espacioPermite la conservación de varias versiones de un mismo fichero
Desventajas:Se pueden copiar ficheros cuyo contenido no ha cambiado.Se necesitan todas las copias incrementales para recuperar un sistema.La restauración de ficheros individuales consume mucho tiempo.
TiposTipos
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Diferencial
Se realiza una comparación del contenido de los ficheros a la hora dedeterminar qué debe copiarse.
Ventajas:Todas las incrementalesRequiere menos espacio
Desventajas:Todas las incrementalesNo todas las herramientas permiten copias diferenciales
TiposTipos
49
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Nivel 2
El resto de los días se realiza una copia de seguridad de nivel 2, en cadasemana se toma como referencia la copia de seguridad de nivel 1.
EstrategiasEstrategiasNivel 0
El primer lunes de cada mes se realiza una copia completa
Nivel 1
El resto de los lunes y el primer martes de cada mes se realiza una copiade nivel 1
Buenas costumbresBuenas costumbres
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Correcta etiquetación de los soportes22
No almacenar las copias en el mismo recinto que los datos44
NO realizar las copias en el mismo dispositivo del cual se están obteniendo los datos.11
Realizar las copias cuando no hay nadie trabajando55
Comprobar el estado de la copia de seguridad33
50
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Linux
Tar, cpio, restore/dump, amanda
HerramientasHerramientas
Windows
Administrador de copias de seguridad
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADEN LOSEN LOS
SISTEMAS INFORMSISTEMAS INFORMÁÁTICOSTICOS
(AN(ANÁÁLISIS FORENSE)LISIS FORENSE)
51
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
Los objetivos del análisis forense son:•Averiguar qué ha pasado•Cómo se ha realizado la intrusión•Qué consecuencias ha tenido•Quién ha sido
Debido a la creciente importancia de los sistemas de información, no sólopor su repercusión social sino también por la importancia de los datos yoperaciones que se realizan con ellos, los estados han legislado losllamados delitos informáticos.
Y todo ello con procedimientos y herramientas legales.
No hacer RubberHouse para averiguar que ha pasado!!!!!!
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
1.- Recopilación de las evidencias
Si el equipo está encendido hay que conseguir la siguiente información:* Ficheros:
- Ficheros abiertos- Ficheros temporales- Fechas de modificación y acceso
* Red:- Conexiones abiertas (equipos, interfaces de red)- Tablas de erutado- ARP
* Estado del sistema:- Fecha y hora local- Usuarios presentes en el sistema- Contenido del sistema /proc- Copias de los registros y estado del procesador
ProcedimientoProcedimiento
52
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
2.- Análisis e investigación de las evidencias
Hay que estudiar las correlaciones de los datos obtenidos en la faseanterior (logs, ficheros,…)
Además deberemos buscar signos de algún proceso de ocultación de datos
Para poder reproducir mejor los pasos del atacante es bueno poderdisponer de una máquina virtual con el mismo sistema que el equipocomprometido
ProcedimientoProcedimiento
����������
����� �����
���!����
���������
����������
�������������������� ��������������������������������������
3.- Presentación de la información
En esta última fase, los administradores deben presentar, con un lenguajeclaro y sencillo, sin tecnicismos, los resultados obtenidos en las fasesanteriores y las conclusiones a las que se ha llegado.
ProcedimientoProcedimiento