2Implantacion de Mecanismos de Seguridad Activa

  • View
    21

  • Download
    0

Embed Size (px)

Transcript

Implantacin de mecanismos de seguridad activa

Implantacin de mecanismos de seguridad activaAgustn Jimnez GuerraAtaques al sistemaPasivosNo producen cambios se limitan a extraer la informacinEl afectado no se suele enterarActivosProducen cambios en el sistemaAtaques al sistemaReconocimiento de sistemasAprovechamiento de vulnerabilidades del sistemaRobo de informacin por interceptacin de mensajesSuplantacin de identidadModificacin del trfico y las tablas de enrutamientoCross-site ScriptingInyeccin de cdigo SQLContra usuarios y contraseasReconocimiento de sistemaNo provocan daos en el sistema (objetivo: obtencin de informacin del sistema)Escaneo de puertos Servicios que ofrece el equipoPuertos y aplicaciones que se estn ejecutandolDatos a partir de una ip o URLwhoisAprovechamiento de vulnerabilidadesLos exploits son programas que se disean para aprovechar alguna vulnerabilidadrdenes del SO y cdigo (C, Javascript) para causar un mal funcionamiento

Interceptacin de mensajesRobo de informacin por interceptacin de mensajesNo se puede evitar (internet es una red pblica)Hay que interpretar lo que se interceptaCorreo electrnico (no tiene garantas de privacidad)Encriptar (PGP, S\MIME Encriptan el contenido y no los encabezados de los mensajes)Los servidores de correo guardan copia de todo los mensajesSuplantacin de identidadSe enmascaran las direcciones IP (IP Spoofing)Se produce una traduccin falsa de los servidores DNS (DNS Spoofing)Se produce el envo de mensajes con remitentes falsos (SMTP Spoofing)Se capturan nombres de usuario o contraseas

Suplantacin de identidadSe enmascaran las direcciones IP (IP Spoofing)Se sustituye la IP origen de un paquete TCP/IP por otra IP (con nmap pe)root@linux-vbox:/home/tomas# nmap -e eth0 -S 10.0.2.3 10.0.2.15Se produce una traduccin falsa de los servidores DNS (DNS Spoofing)Se falsea la IP en una consulta DNSSe asigna una IP falsa a un nombre DNS o viceversaEl atacante consigue llevar a la vctima a la direccin no deseadaEttercapEditar el archivoetter.dnsque se encuentra en/usr/share/ettercap/Se aade la URL que se ver en la IP destino:www.infoalisal.comA IP destino.Se ejecuta ettercap:ettercap T q i eth0 P dns_spoof M arp // //Parmetros utilizados:-T text mode

Suplantacin de identidadSe produce el envo de mensajes con remitentes falsos (SMTP Spoofing)Se falsifica el origen de los mensajes (cualquier servidor de correo que acepta conexiones en el puerto 25)Alguien puede enviar correos desde una cuenta ajenaUno de los indicios: Recibir correos que parece que vienen de uno mismoPuede producirse tambin cuando alguien accede a las cuentas de correo y a los correos como su fuera el dueoSe puede enviar correo simulando ser otro usuario:Conectarse mediantetelnetpor el puerto 25, al servidor de correo donde est alojada una cuenta legtima.telnet correo.dominio 25MAIL FROM:tomas@no.valido (cuenta que puede ser inventada)RCPT TO:tomas.fernandez@educantabria.es (cuenta legitima donde poder verificar)DATATO:tomas.fernandez@educantabria.esFROM:tomas@no.validoHola esto es una prueba desde una cuenta que no existeAdisSi las direcciones son parecidas a direcciones reales el engao es ms difcil de ver

Suplantacin de identidadSe capturan nombres de usuario o contraseasRobo de usuarios y contraseasPhising: Enviar un correo electrnico desde una URL muy parecida a la real, requiriendo clave bancaria o nmero de la cuentaConocer los datos bancarios o tarjetas de crdito

Modificacin del trfico y de las tablas de enrutamientoVaran la ruta de los paquetes en la redInterferir en protocolos de rutas predeterminadas, o tablas de enrutamientoMtodosEnvo de paquetes ICMP Redirect (lo usan los routers para indicar que hay otras rutas alternativas sin pasar por l)Ataque man in the middleEl atacante intercepta mensaje entre dos vctimas sin que estas se enteren (utilizar encriptacin)Pueden ser interceptacin de comunicacin, ataques de sustitucin, ataques de repeticin, ataques de denegacin de servicioDeshabilitar paquetes ICMP Redirec en los routers/etc/sysctl.conf:net.ipv4.conf.all.accept_redirects = 02. Tambin en:root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/accept_redirectsroot@linux-vbox:/proc/sys/net/ipv4/conf/eth0/secure_redirects3. En algunosrouterscon la siguiente lnea de rdenes:router(config)# interface E0router(config-if)#no ip redirectsPara poder enviar mensajes ICMPRedirectse puede emplear la herramientahping. Esta herramienta tiene muchos parmetros que se pueden consultar con la ayuda en lnea.root@linux-vbox:/# hping2 hLa siguiente sentencia ejecutada en unashellde Linux:root@linux-vbox:/# hping -I eth0 -C 5 -K 1 -a 192.168.1.3 --icmp-ipdst 195.235.113.3 --icmp-gw 192.168.1.254 192.168.1.5

Cross-site scriptingSe ejecutan scripts (Javascript, VBScript) en pginas webSobre todo en cadenas de texto de formularios entre pginas web dinmicas Esto solo saca un mensaje pero podra ser algo maliciosoLos scripts se pueden esconder detrs de fotos (al mostrarla)

cross-site

Holaesta pgina contiene un script que os saluda.alert('Hola mi nombre es Toms Fernndez Escudero')

Inyeccin de cdigo SQLEn aplicaciones con SQL sobre BDIntroducir cdigo SQL dentro de cdigo legtimo para alterar el funcionamiento de la aplicacinconsulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';Alicia SELECT * FROM usuarios WHERE nombre = 'Alicia';Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '% SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE %;En Ruby, Perl, PHP, Java, C#, Inyeccin de cdigo SQLEn aplicaciones con SQL sobre BDPHP$usuario=$_POST['usuario'];$password=$_POST['password'];

Estas variables son utilizadas dentro de una sentencia SQL que realiza una bsqueda en una tabla denominada usuarios.$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";$result=mysql_query($sql);

Existe un agujero de seguridad en este cdigo si se introducen como valores del campo usuario y el campo password:' OR '1'='1.La expresin de SQL quedara de la siguiente manera:"SELECT * FROM Usuarios WHERE Usuario = ' ' or '1'='1' AND password = ' ' or '1'='1'"

La expresin se evala como cierta, la variable$sqlse llenar con un usuario con privilegios de conexin y accederemos sin problemas al sistema.

Ataques contra usuarios y contraseasEncontrar contraseas para acceder a sistemasFuerza brutaUtiliza todas las combinaciones posibles hasta encontrar la correctaHay muchas herramientas para descubrir claves de acceso (a redes inalmbricas, )DiccionarioPrueba todas las combinaciones posibles de un diccionarioLinux: Herramienta Medusaroot@linux-vbox:/# aptitude install medusaroot@linux-vbox:/# medusa -h 127.0.0.1 -u tomas -P pasaporte.txt -M ssh -fBusca las contraseas posibles para el usuario tomas de localhost (pasaporte: archivo de texto, el diccionario)xito en funcin del diccionario: Hay para WEP, WPA, router, servidores, )

Ataques contra usuarios y contraseas

Anatomia de ataques y anlisis de software maliciosoSaber como se estructura un ataque para poder defendernosFasesReconocimientoRecopilar informacin, ingeniera social, internet,ExploracinEscaneo del sistema, sniffers, escaneo de puertos, debilidades del sistema, direccin ip, nombres dns, puertos abiertos, aplicaciones ms usadasAccesoAcceder al sistema despus de haber robado o crackeado las clavesMantenimiento del accesoConseguir entrar ms veces, cambiar privilegios, crear nuevas vulnerabilidades, backdoors, Borrado de huellasBorrar rastros en los accesos no permitidos, ficheros de logs, alarmas del sistemaAnlisis de software maliciosoHerramientas de software para contrarrestar ataquesHacerlo en entornos aisladosCajas de arena o sandbox (no se ve influenciado por el exterior)Anlisis estticoAnalizar el cdigo lnea a lnea y determinar si son maliciosas (sin ejecutar el cdigo), complejo, personal muy cualificadoAnlisis dinmicoMs rpido. Se ejecuta el malware en un entorno que parece el real y se analizan las consecuencias de su ejecucinHerramientas preventivasEvitar que el malware se instale en el sistemaAntivirusCortafuegosEncriptacin de la informacinHerramientas de deteccin de intrusosUtilizacin segura de entornos vulnerablesAntivirusVirus afectan a todos los SOInstalar ClamAV en Linux root@linux-vbox:/home/tomas# apt-get install clamavroot@linux-vbox:/home/tomas# apt-get install klamavroot@linux-vbox:/home/tomas# apt-get install clamatkCortafuegosSe configuran en funcin del usuarioCuanto ms aplicaciones permitan, ms peligro

EncriptacinPrevenir posibles daos en archivosEvitar que sean ledosLinux seahorse, GnuPGPasosGenerar las clavesCifrar la informacin con las claves

Deteccin de intrusosSaber si hay intrusos en el sistemaHerramientas IDS (Intrusion Detection System)Se analiza el trfico en la redSistemas de deteccin de intrusosHost IDS o HIDS: Detectar intrusos en los hostsNetwork IDS: Detectar intrusos en la redHerramienta snortDeteccin de intrusosHerramienta snort

Precauciones en entornos de riesgoPrecauciones en correo electrnico, redes sociales, mensajera, compras por InternetEvitar el reenvo de mensajes de emailPuede caer todas las direcciones de la agenda en manos no adecuadas, spam, phising, (no usar cadenas de reenvo)Varios destinatarios: ccoUtilizar contraseas fuertes en redes socialesMucha informacin del usuario, acceso a la cuenta si contrasea dbil (8 caracteres, n, letras, may, min)Precaucin con las formas de pago en las compras en InternetQue se conozca al vendedor, pagar se enviar datos bancarios, contrareembolso, paypal,

Herramientas paliativasEvitar los daos producidos por el malwareCopias de seguridad (backup, respaldo)HerramientasRsyn (linux - windows)Acronis true imageCloud ComputingEmpresas con CPD accesibles por InternetDropbox, Windows Live Mesh, SugarSync, Windows Live Skydrive, icloudGua