Temario

Seguridad Informática para Introducción.

Administradores de Redes Bases sobre Criptografía y Control de
Accesos.
y Servidores Amenazas.
Lic. Tomás Heredia Prevención y defensa de ataques.
n Planificación.
n Herramientas.

1 2

Temario Introducción
Detección de Ataques. Que queremos proteger?
Problemas y Aseguramiento de servicios
n Activos
comunes
Tangibles
Configuración de servidores.
n Hardware, Software
Gerenciamiento de la seguridad.
Intangibles
Breves temas legales y éticos
n Datos, Secretos, Reputación

3 4

Introducción Responsabilidad

Que tenemos que proteger?

Propietario de los activos
n Responsabilidad
Servicios brindados por Sistemas
n Análisis de riesgo

5 6

1
 Análisis de riesgo Criptografía
Qué proteger? Simétrica
“Cuánto” proteger?
Asimétrica
P(e)) * C(e
P(e C(e)) =R Digesto (hash
(hash))
Algoritmos seguros
0.01 * $100.000 = $1.000
Usos
1 * $10.000 = $10.000
7 8

Criptografía Simétrica Criptografía Simétrica

K: clave compartida DES

n ANSI: DEA ISO: DEA - 1
n IBM (1975) para NBS (hoy NIST)
n Modificado por NSA (56 bits en lugar de 128)
3DES (168 bits)
IDEA (Patentado)
CK(M
(M)) DK(M
(M)) AES (ex Rijndael
Rijndael))
RC2, RC4, RC5 (Rivest
(Rivest))
9 10

Criptografía Asimétrica Criptografía asimétrica

KS: clave secreta (privada)
RSA
KP: clave pública n Rivest Shamir y Adleman
ElGammal (DSA)
Diffie-- Hellman
Diffie

Cifrado
CKP(M
(M)) DKS(M
(M))
Firmado
DKP(M
(M)) CKS(M
(M))
11 12

2
 Digesto Digesto: Colisiones
D(M)) = H
D(M Colisión: D(M
D(M)) = D(M
D(M’)
’)

Encontrar M y M’ tal que D(M) = D(M’)

Obtener H dado M: FÁCIL

Dado M encontrar M’ tal que D(M) = D(M’)

Obtener M dado H: IMPOSIBLE

13 14

Certificados
Firma
Certificado Certificado

Vale la pena firmar 1Gb de información? Certificado Certificado

Certificado

Certificado

Certificado

Firma = Sign ( Hash ( MSG ) ) Certificado

Certificado

Certificado

Certificado

Certificado Certificado

Certificado

15 16

Algoritmos seguros Control de Acceso

Cifrado:
n 3DES, AES-
AES - 256 AES-
AES - 512 Proteger recursos de uso no
n RSA / DSA (>1024), ECDSA(>160) autorizado
Permisos
Firma: RSA / DSA + MD5 / SHA-
SHA -1
Autenticación
Hash:: SHA-
Hash SHA -1, SHA-
SHA -256+, RIPEMD-
RIPEMD-128+

17 18

3
 Control de Acceso Autenticación
Propiedades:
Unix::
Unix n Tiene
n Login n Sabe
n Permisos del Filesystem ( r w x)
x) n Es
n Servicios Métodos:
/etc
etc//hosts.allow n Passwords
Windows n One Time Passwords
n Logon n Certificados
n ACLs de Fileystem n Dispositivos
n Biometría
19 20

Autenticación A: H1
Autenticación
Passwords B: H2 Certificados:
n Contraseña? n Por favor, firmame
n P: “SeCrEtO” C: H3 este dato.
Como no! Aquí está!
A M B
n A ver… n

n OK!
A B n A ver…
Chalenge

n OK! Certificado

K=Sign(C))
K=Sign(C Verify(K )
P Hash(P))=H1
Hash(P

21 22

Autenticación Paswwords:: Hash

Paswwords
Digesto: tomas:eBVpbsvxyW5olLd5RW0zDg (asd
asd))
n Por favor, ciframe
este dato.
A M B pedro:eBVpbsvxyW5olLd5RW0zDg
n Como no! Aquí está! Chalenge

n A ver…
n OK! tomas:$1$PB6u7m2rgMEk6JMeJ7DV8A
tomas: $1$PB6u7m2rgMEk6JMeJ7DV8A (asd
asd))

X=H(P.M))
X=H(P.M H(P.M))=X
H(P.M pedro:$2$UOoGoRW1SexgAIZYFPR2pQ
pedro: $2$UOoGoRW1SexgAIZYFPR2pQ

23 24

4
 Passwords Amenazas
Internas
Largos n Ignorancia
Difíciles n Desidia
n Malicia
No utilizar cleartext
Externas

Ayer: 80/20
Hoy: 50/50

25 26

Amenazas externas Amenazas: Herramientas

Ataques generales Reconocimiento: Port scanning
scanning,, OS
Ataques dirigidos Fingerprint…
Fingerprint …
Exploits::
Exploits
n Buffer overflow
Disponibilidad: DOS / DDOS…
n Stack overflow
Integridad: Defacement
Defacement……
n Escalada de privilegios
Confidencialidad: Evesdropping
Evesdropping…
… n Pobre verificación de identidad

27 28

Prevención y defensa de ataques Prevención y defensa de ataques

Reducir el valor de los activos Múltiples capas

Disminución de vulnerabilidades n Perímetro
Defensa de ataques n Red
n Software
n Usuarios

29 30

5
Prevención y defensa de ataques
Perímetro
Prevención y defensa de ataques
Internet
Red
n Diseño (Topología)
n Switches / Vlans
n Filtrado de paquetes

31 32

Prevención y defensa de ataques Prevención y defensa de ataques

Software Usuarios
n Actualización n Capacitación
n Configuración n Concientización
Configuraciones por defecto n Buenas costumbres
Servicios no utilizados Escritorios limpios
Hardening Passwords “fuertes”
n Forzar algunas buenas costumbres
Cambio de passwords

33 34

Por qué utilizar múltiples capas?

Políticas

35 36

6
 Herramientas IRTs
Análisis de Vulnerabilidades Incident Response Team
n Nmap, Nessus y nikto
Nmap, CSIRT Computer Security IRT
n MBSA CERT: Computer Emergency Response
n War Dialing Team (http
(http://
://www.cert.org
www.cert.org))
Modems (http
http://
://www.thc.org
www.thc.org )
Wireless (War Driving
Driving)) (http
(http://
://stumbler.net
stumbler.net))
ArCERT
IRT
Análisis Forense

37 38

Análisis Forense Forensics

Análisis Post-
Post-Mortem de un ataque Autopsy Forensic Browser
Normalmente offoff--line n The Sleuth Kit
Interno o externo n http://sleuthkit.sourceforge.net

Herramientas
n Anáslisis de archivos modificados
n Línea de tiempo
n Scanners

39 40

Forensics:: Autopsy
Forensics
Forensics
Fire
n http ://fire.dmzs.com
http:// fire.dmzs.com//
n CD Booteable
n TCT, macmac--robber
robber,, autopsy
autopsy,, antivirus, nessus
nessus,, etc

41 42

7
 Forensics
Helix
n http://www.e-fense.com/helix/
http://www.e-
n Basado en Knoppix

43 44

Forensics Forensics
Penguin Sleuth Kit The Forensic Toolkit
Toolkit™
™
n http://www.linux -
http://www.linux- n http://www.foundstone.com
forensics.com/downloads.html n Es Open Source
n Basado en Knoppix n No es de libre disponibilidad

45 46

Detección de Ataques Logs y Auditoría

Logs y Auditoría Analisis de Logs
IDS n Logcheck
Honeypots n Swatch
n Firewalls
Auditoría
n Tripwire
n Aide
n Audit

47 48

8
 IDS IDS: Snort

NIDS Snort
HIDS ACID
Híbridos Snortcenter

http://www.snort.org/

49 50

http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
http://users.pandora.be/larc/

51 52

IDS: Prelude Honeypots

Prelude-- IDS
Prelude Honeyd
http://www.honeyd.org
http:// www.honeyd.org
n http://www.prelude--ids.org
http://www.prelude
n Utiliza reglas de Snort
n Arquitectura sensor
sensor--manager
manager--DB
n Escalable

53 54

9
 Servicios de red World Wide Web
Web Servicio de transferencia de hipertexto
Mail
HTTP
Webmail
Proxy
TCP
DNS Servidores Más conocidos:
SNMP n Apache
NTP n IIS
Archivos e Impresión
Bases de datos

55 56

Apache Apache
http://httpd.apache.org Instalación
1.3 o 2.0 mod--ssl
mod
Modular ? problemas modulares mod_security:: http://www.modsecurity.org
mod_security
n PHP Configuración
n OpenSSL

Cuidado con el Proxy.

Access Control / Autenticación

57 58

Apache IIS
CGIs::
CGIs HTTP, FTP, SMTP, NNTP.
n Usuario no privilegiado Instalación con lockdown
lockdown..
n Verificar inputs Para tener en cuenta:
n Verificar origen / versiones actualizadas n Updates
n suEXEC n URLScan
Problema: Brindar “hosting” n Application pools
n + lockdown
http://www.microsoft.com/technet/security/
prodtech/iis/default.mspx
59 60

10
 Mail Mail
Protocolos
n SMTP, POP3, IMAP4… Bugs ? actualizaciones
TCP Problemas viejos: expn
expn//verify
verify,, debug
Exchange, Postfix
Postfix,, Exim
Exim,, Sendmail Cambiar Banner
QMAIL: http://cr.yp.to/qmail.html Filtrar headers
n http://
http://www.qmail.org
www.qmail.org

61 62

Return -Path
Return- Path:: <xxx@xxx.com.ar
<xxx@xxx.com.ar> >
Delivered--To
Delivered To:: theredia@arcert.gov.ar Mail
Received:: from unknown (HELO me) (200.x.x.x
Received (200.x.x.x))
by mail.arcert.gov.ar with SMTP; 29 Oct 2004 14:00:16 -0000 Bugs ? actualizaciones
Received:: from ecosport.xxx.com.ar ([127.0.0.1])
Received
by localhost (ecosport [127.0.0.1]) (amavisd
(amavisd--new
new,, port
Problemas viejos: expn
expn//verify
verify,, debug
10024) with ESMTP id 28182
28182--02 for Cambiar Banner
<theredia@arcert.gov.ar>
Received:: from of123c (of123_1-
Received (of123_1-T_Heredia.xxx.com.ar Filtrar headers
[10.1.1.51]) by ecosport.xxx.com.ar (Postfix
Postfix)) with SMTP id Autenticación segura
C2AA5204F6A for <theredia@arcert.gov.ar
theredia@arcert.gov.ar> >
From:: "Fernando X" <xxx@xxx.com.ar
From <xxx@xxx.com.ar> >
Cifrado
To:: "Tomas Heredia" <theredia@arcert.gov.ar
To <theredia@arcert.gov.ar> >
Subject:: Re: Un favor!
Subject
63 64

Open Relay Open Relay

65 66

11
 Open Relay Open Relay
Usado por spammers
Diversas formas
n usuario@dominio.remoto
n usuario@remoto@local
n “usuario@remoto”@local
n local!usuario@remoto
ORDB http
http://
://www.ordb.org
www.ordb.org

67 68

Open Relay Webmail

Problemas de Web
???
SMTP Problemas de Mail
TO: local.com
Auth
Open Relay

relay

mail.local.com
69 70

Proxy Squid
Más conocidos: http://www.squid- cache.org
http://www.squid-
n Squid Proxy HTTP, FTP, etc.
n ISA Server ICP, HTCP
Problemas comunes:
n Autenticación
n Filtrado

71 72

12
 Squid DNS
Deshabilitar servicios no utilizados
n ICP, HTCP Domain Name System
n SNMP Bind
Access Lists DJBDNS
n Dan J. Bernstein
Bernstein,, autor del Qmail
Accesorios
n Muy simple
n Squidtaild
n Muy seguro
n Calamaris
http://cord.de
http://cord.de//tools
tools//squid
squid//calamaris
calamaris//Welcome.html n Separa resolver de DNS
n SquidGuard
http://www.squidguard.org/intro/
http ://www.squidguard.org/intro/
73 74

DNS DNS
Root-- server
Root
?
. com
NS de resolver
m
ns.co

NS de sitio.com
?
IP de www.sitio.com?
m?

ns.com
ns.sitio.com
ns.local.com
200.1.1.33

IP d
e w
ww
.sitio
200 .com
.1.1 ?
.33 ns.sitio.com
200.1.1.33
local.com 75 76

DNS DNS
No permitir consultas recursivas
Retacear información
AXFR n No permitir transferencia de dominio
ü DNSSEC
ns1.local.com
ns1.local.com ns2.local.com
ns2.local.com n Cuidar los nombres de los hosts
hosts..
SSH
Actualizaciones (Especialmente Bind
Bind))

77 78

13
 DNS: Securing Bind Registry
Jail (chroot
chroot)) En Argentina: Cancillería http://www.nic.ar
ACLs En muchos lugares: desregulado
desregulado..
n Quien puede consultar Elegir uno que:
n Quien puede transferir n Brinde suficiente respaldo
n Quien puede modificar!!! n Opciones de seguridad
n Recursión Autenticación
Cambiar Versión

79 80

SNMP SNMP
Simple Network Management Protocol
GET var
var;; c:secret
Versiones v1, v2 y v3
Sólo v3 sirve en un ambiente no MGR
et
asegurado ecr
c:s
r;
va
T
UA GE
Ahhh!! “secret”
Ahhh

81 82

SNMP SNMP
v1: RO
SET var
var;; c:secret
Configuración por defecto
MGR t
Red segura
cre
c:se Encripción
;
r
va
T SRC IP = MGR
UA SE
v3
Ahhh!! “secret”
Ahhh

83 84

14
 NTP Archivos e impresión
Network Time Windows y Samba
Protocol Stratum 1 n No compartir de más
http://www.ntp.org n Utilizar passwords encriptados
Stratum 2
Asegurar: n Verificar permisos
n Autenticación fuerte
n No exponer el servicio si no es necesario
n Configurar filtrado de
paquetes

Stratum N

85 86

Bases de datos Resumiendo

Más utilizadas Para TODOS los servicios y servidores :
n SQL Server n Más no siempre es bueno: deshabilitar los
n MySQL servicios innecesarios.
n Postgersql n Al filo (pero sin cortarse): Mantener los sistemas
n Oracle / DB2 actualizados (pero dentro de versiones
estables).
En general…
n No desperdiciar oportunidades: bloquear
n Passwords por defecto posibles accesos en todos los puntos posibles.
n Restricción de acceso remoto n No confiar:
n Bases de ejemplo Utilizar autenticación fuerte
DBA Revisar lo que hicieron otros
Comprender el sistema
87 88

Equipamiento de red VLANS

VLANs
Hubs n Leaks de paquetes
Switches n Flood de paquetes
n Tagging
Routers

89 90

15
 Equipamiento de red Equipamiento de red
Instalación: Asegurar:
n Configuración n Protocolos de administración: SNMP, RMON
n Aseguramiento de administración remota n Acceso al equipo: telnet
telnet,, ssh
ssh,, http
n Conexión a la red n Protocolos de ruteo
Administración remota: n Direcciones no válidas
n Passwords por defecto n Direcciones del equipo
n Desactivar / filtrar interfaces no necesarias
n Red administrativa

91 92

Tips de configuración de servidores Tips

Instalar solo lo necesario Utilizar suid solo si es necesario.
n Borrar o deshabilitar TODO lo demás Si hay varios administradores, delegar
Mantener el sistema al día funciones. No utilizar todos el usuario
Borrar o deshabilitar usuarios innecesarios administrador.
n No utilizar shell por defecto Utilizar Logs
Logs..
Permitir acceso a los servicios solo si es
necesario Utilizar filtrado de paquetes además del
firewall..
firewall
Utilizar un “sandbox” para los servicios
públicos Realizar verificaciones de seguridad
93 94

Tips Tips
Dividir funciones. Usar NTFS
El firewall es un firewall
firewall,, no un servidor Limitar el acceso remoto
más. Deshabilitar LanMan auth
auth:: solo NTLMv2
Comprender y utilizar las facilidades que Restringir acceso a los Shares
nos brinda el SO.
Documentar.
Desarrollo separado de producción

95 96

16
Políticas de seguridad Informática Gerenciamiento
Son la “orientación” con respecto a la Como obtener presupuesto para
seguridad informática. seguridad?
Necesitan ser “reglamentadas”: Normas n Evaluación de Riesgo
y/o Procedimientos. n ROI
IRAM--ISO 17799
IRAM n Concientización

Objetivo: Formalizar procedimientos Guardar Pruebas

actuales.
http://www.arcert.gov.ar
http:// www.arcert.gov.ar//politica
97 98

Temas legales y éticos Sitios sobre Seguridad

Ética
n Información personal http://www.arcert.gov.ar
n Información privilegiada http://www.securityfocus.com/
Delito informático (Proyectos) http://www.linuxsecurity.com/
Protección de Datos Personales (25.326) http://www.microsoft.com/technet/security/
n “…medidas técnicas y organizativas (…) para
garantizar la seguridad y confidencialidad de http://www.cert.org
los datos personales” http://cve.mitre.org
Firma Digital (25.506) http://osvdb.org
http:// osvdb.org
n Personal Idóneo
n Elementos técnicos disponibles
99 100

Bibliografía
Bauer, Michael D., Building Secure Servers
Bauer,
with Linux
Linux,, ISBN: 0-0- 596
596-- 00217
00217-- 3, O’Reilly and
Muchas Gracias
Associates, 2002
Schneier,, Bruce, Applied Criptography
Schneier Criptography,, John
Wiley & Sons
Sons,, Inc
Inc..
Scambray,, Joel and Shema
Scambray Shema,, Mike
Mike,, Hacking Lic.Tomás Heredia
Exposed ™ Web Applications , McGraw -
Hill/Osborne theredia@arcert.gov.ar
Gragg,, Roberta, Hardening Windows
Gragg
Systems , ISBN:0-
ISBN:0- 072
072-- 25354
25354-- 1, McGraw
McGraw--
Hill/Osborne
Hill/ Osborne,, 2004
http://www.arcert.gov.ar
http:// www.arcert.gov.ar
101 102

17