1 2
Temario Introducción
Detección de Ataques. Que queremos proteger?
Problemas y Aseguramiento de servicios
n Activos
comunes
Tangibles
Configuración de servidores.
n Hardware, Software
Gerenciamiento de la seguridad.
Intangibles
Breves temas legales y éticos
n Datos, Secretos, Reputación
3 4
Introducción Responsabilidad
5 6
1
Análisis de riesgo Criptografía
Qué proteger? Simétrica
“Cuánto” proteger?
Asimétrica
P(e)) * C(e
P(e C(e)) =R Digesto (hash
(hash))
Algoritmos seguros
0.01 * $100.000 = $1.000
Usos
1 * $10.000 = $10.000
7 8
Cifrado
CKP(M
(M)) DKS(M
(M))
Firmado
DKP(M
(M)) CKS(M
(M))
11 12
2
Digesto Digesto: Colisiones
D(M)) = H
D(M Colisión: D(M
D(M)) = D(M
D(M’)
’)
13 14
Certificados
Firma
Certificado Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado Certificado
Certificado
15 16
17 18
3
Control de Acceso Autenticación
Propiedades:
Unix::
Unix n Tiene
n Login n Sabe
n Permisos del Filesystem ( r w x)
x) n Es
n Servicios Métodos:
/etc
etc//hosts.allow n Passwords
Windows n One Time Passwords
n Logon n Certificados
n ACLs de Fileystem n Dispositivos
n Biometría
19 20
Autenticación A: H1
Autenticación
Passwords B: H2 Certificados:
n Contraseña? n Por favor, firmame
n P: “SeCrEtO” C: H3 este dato.
Como no! Aquí está!
A M B
n A ver… n
n OK!
A B n A ver…
Chalenge
n OK! Certificado
K=Sign(C))
K=Sign(C Verify(K )
P Hash(P))=H1
Hash(P
21 22
n A ver…
n OK! tomas:$1$PB6u7m2rgMEk6JMeJ7DV8A
tomas: $1$PB6u7m2rgMEk6JMeJ7DV8A (asd
asd))
X=H(P.M))
X=H(P.M H(P.M))=X
H(P.M pedro:$2$UOoGoRW1SexgAIZYFPR2pQ
pedro: $2$UOoGoRW1SexgAIZYFPR2pQ
23 24
4
Passwords Amenazas
Internas
Largos n Ignorancia
Difíciles n Desidia
n Malicia
No utilizar cleartext
Externas
Ayer: 80/20
Hoy: 50/50
25 26
27 28
29 30
5
Prevención y defensa de ataques Prevención y defensa de ataques
Perímetro Internet
Red
n Diseño (Topología)
n Switches / Vlans
n Filtrado de paquetes
31 32
Software Usuarios
n Actualización n Capacitación
n Configuración n Concientización
Configuraciones por defecto n Buenas costumbres
Servicios no utilizados Escritorios limpios
Hardening Passwords “fuertes”
n Forzar algunas buenas costumbres
Cambio de passwords
33 34
Políticas
35 36
6
Herramientas IRTs
Análisis de Vulnerabilidades Incident Response Team
n Nmap, Nessus y nikto
Nmap, CSIRT Computer Security IRT
n MBSA CERT: Computer Emergency Response
n War Dialing Team (http
(http://
://www.cert.org
www.cert.org))
Modems (http
http://
://www.thc.org
www.thc.org )
Wireless (War Driving
Driving)) (http
(http://
://stumbler.net
stumbler.net))
ArCERT
IRT
Análisis Forense
37 38
Herramientas
n Anáslisis de archivos modificados
n Línea de tiempo
n Scanners
39 40
Forensics:: Autopsy
Forensics
Forensics
Fire
n http ://fire.dmzs.com
http:// fire.dmzs.com//
n CD Booteable
n TCT, macmac--robber
robber,, autopsy
autopsy,, antivirus, nessus
nessus,, etc
41 42
7
Forensics
Helix
n http://www.e-fense.com/helix/
http://www.e-
n Basado en Knoppix
43 44
Forensics Forensics
Penguin Sleuth Kit The Forensic Toolkit
Toolkit™
™
n http://www.linux -
http://www.linux- n http://www.foundstone.com
forensics.com/downloads.html n Es Open Source
n Basado en Knoppix n No es de libre disponibilidad
45 46
47 48
8
IDS IDS: Snort
NIDS Snort
HIDS ACID
Híbridos Snortcenter
http://www.snort.org/
49 50
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
http://users.pandora.be/larc/
51 52
53 54
9
Servicios de red World Wide Web
Web Servicio de transferencia de hipertexto
Mail
HTTP
Webmail
Proxy
TCP
DNS Servidores Más conocidos:
SNMP n Apache
NTP n IIS
Archivos e Impresión
Bases de datos
55 56
Apache Apache
http://httpd.apache.org Instalación
1.3 o 2.0 mod--ssl
mod
Modular ? problemas modulares mod_security:: http://www.modsecurity.org
mod_security
n PHP Configuración
n OpenSSL
57 58
Apache IIS
CGIs::
CGIs HTTP, FTP, SMTP, NNTP.
n Usuario no privilegiado Instalación con lockdown
lockdown..
n Verificar inputs Para tener en cuenta:
n Verificar origen / versiones actualizadas n Updates
n suEXEC n URLScan
Problema: Brindar “hosting” n Application pools
n + lockdown
http://www.microsoft.com/technet/security/
prodtech/iis/default.mspx
59 60
10
Mail Mail
Protocolos
n SMTP, POP3, IMAP4… Bugs ? actualizaciones
TCP Problemas viejos: expn
expn//verify
verify,, debug
Exchange, Postfix
Postfix,, Exim
Exim,, Sendmail Cambiar Banner
QMAIL: http://cr.yp.to/qmail.html Filtrar headers
n http://
http://www.qmail.org
www.qmail.org
61 62
Return -Path
Return- Path:: <xxx@xxx.com.ar
<xxx@xxx.com.ar> >
Delivered--To
Delivered To:: theredia@arcert.gov.ar Mail
Received:: from unknown (HELO me) (200.x.x.x
Received (200.x.x.x))
by mail.arcert.gov.ar with SMTP; 29 Oct 2004 14:00:16 -0000 Bugs ? actualizaciones
Received:: from ecosport.xxx.com.ar ([127.0.0.1])
Received
by localhost (ecosport [127.0.0.1]) (amavisd
(amavisd--new
new,, port
Problemas viejos: expn
expn//verify
verify,, debug
10024) with ESMTP id 28182
28182--02 for Cambiar Banner
<theredia@arcert.gov.ar>
Received:: from of123c (of123_1-
Received (of123_1-T_Heredia.xxx.com.ar Filtrar headers
[10.1.1.51]) by ecosport.xxx.com.ar (Postfix
Postfix)) with SMTP id Autenticación segura
C2AA5204F6A for <theredia@arcert.gov.ar
theredia@arcert.gov.ar> >
From:: "Fernando X" <xxx@xxx.com.ar
From <xxx@xxx.com.ar> >
Cifrado
To:: "Tomas Heredia" <theredia@arcert.gov.ar
To <theredia@arcert.gov.ar> >
Subject:: Re: Un favor!
Subject
63 64
65 66
11
Open Relay Open Relay
Usado por spammers
Diversas formas
n usuario@dominio.remoto
n usuario@remoto@local
n “usuario@remoto”@local
n local!usuario@remoto
ORDB http
http://
://www.ordb.org
www.ordb.org
67 68
Problemas de Web
???
SMTP Problemas de Mail
TO: local.com
Auth
Open Relay
relay
mail.local.com
69 70
Proxy Squid
Más conocidos: http://www.squid- cache.org
http://www.squid-
n Squid Proxy HTTP, FTP, etc.
n ISA Server ICP, HTCP
Problemas comunes:
n Autenticación
n Filtrado
71 72
12
Squid DNS
Deshabilitar servicios no utilizados
n ICP, HTCP Domain Name System
n SNMP Bind
Access Lists DJBDNS
n Dan J. Bernstein
Bernstein,, autor del Qmail
Accesorios
n Muy simple
n Squidtaild
n Muy seguro
n Calamaris
http://cord.de
http://cord.de//tools
tools//squid
squid//calamaris
calamaris//Welcome.html n Separa resolver de DNS
n SquidGuard
http://www.squidguard.org/intro/
http ://www.squidguard.org/intro/
73 74
DNS DNS
Root-- server
Root
?
. com
NS de resolver
m
ns.co
NS de sitio.com
?
IP de www.sitio.com?
m?
ns.com
ns.sitio.com
ns.local.com
200.1.1.33
IP d
e w
ww
.sitio
200 .com
.1.1 ?
.33 ns.sitio.com
200.1.1.33
local.com 75 76
DNS DNS
No permitir consultas recursivas
Retacear información
AXFR n No permitir transferencia de dominio
ü DNSSEC
ns1.local.com
ns1.local.com ns2.local.com
ns2.local.com n Cuidar los nombres de los hosts
hosts..
SSH
Actualizaciones (Especialmente Bind
Bind))
77 78
13
DNS: Securing Bind Registry
Jail (chroot
chroot)) En Argentina: Cancillería http://www.nic.ar
ACLs En muchos lugares: desregulado
desregulado..
n Quien puede consultar Elegir uno que:
n Quien puede transferir n Brinde suficiente respaldo
n Quien puede modificar!!! n Opciones de seguridad
n Recursión Autenticación
Cambiar Versión
79 80
SNMP SNMP
Simple Network Management Protocol
GET var
var;; c:secret
Versiones v1, v2 y v3
Sólo v3 sirve en un ambiente no MGR
et
asegurado ecr
c:s
r;
va
T
UA GE
Ahhh!! “secret”
Ahhh
81 82
SNMP SNMP
v1: RO
SET var
var;; c:secret
Configuración por defecto
MGR t
Red segura
cre
c:se Encripción
;
r
va
T SRC IP = MGR
UA SE
v3
Ahhh!! “secret”
Ahhh
83 84
14
NTP Archivos e impresión
Network Time Windows y Samba
Protocol Stratum 1 n No compartir de más
http://www.ntp.org n Utilizar passwords encriptados
Stratum 2
Asegurar: n Verificar permisos
n Autenticación fuerte
n No exponer el servicio si no es necesario
n Configurar filtrado de
paquetes
Stratum N
85 86
89 90
15
Equipamiento de red Equipamiento de red
Instalación: Asegurar:
n Configuración n Protocolos de administración: SNMP, RMON
n Aseguramiento de administración remota n Acceso al equipo: telnet
telnet,, ssh
ssh,, http
n Conexión a la red n Protocolos de ruteo
Administración remota: n Direcciones no válidas
n Passwords por defecto n Direcciones del equipo
n Desactivar / filtrar interfaces no necesarias
n Red administrativa
91 92
Tips Tips
Dividir funciones. Usar NTFS
El firewall es un firewall
firewall,, no un servidor Limitar el acceso remoto
más. Deshabilitar LanMan auth
auth:: solo NTLMv2
Comprender y utilizar las facilidades que Restringir acceso a los Shares
nos brinda el SO.
Documentar.
Desarrollo separado de producción
95 96
16
Políticas de seguridad Informática Gerenciamiento
Son la “orientación” con respecto a la Como obtener presupuesto para
seguridad informática. seguridad?
Necesitan ser “reglamentadas”: Normas n Evaluación de Riesgo
y/o Procedimientos. n ROI
IRAM--ISO 17799
IRAM n Concientización
Bibliografía
Bauer, Michael D., Building Secure Servers
Bauer,
with Linux
Linux,, ISBN: 0-0- 596
596-- 00217
00217-- 3, O’Reilly and
Muchas Gracias
Associates, 2002
Schneier,, Bruce, Applied Criptography
Schneier Criptography,, John
Wiley & Sons
Sons,, Inc
Inc..
Scambray,, Joel and Shema
Scambray Shema,, Mike
Mike,, Hacking Lic.Tomás Heredia
Exposed ™ Web Applications , McGraw -
Hill/Osborne theredia@arcert.gov.ar
Gragg,, Roberta, Hardening Windows
Gragg
Systems , ISBN:0-
ISBN:0- 072
072-- 25354
25354-- 1, McGraw
McGraw--
Hill/Osborne
Hill/ Osborne,, 2004
http://www.arcert.gov.ar
http:// www.arcert.gov.ar
101 102
17