Nombre Fecha Actividad Tema

LUIS FRANCISCO HURTADO NEITA 28 / 03 2012 ACTIVIDAD 3 DETECCIN DE LOS POSIBLES ATAQUES

1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que explique esta situacin. El anlisis de vulnerabilidades se ha convertido en un requisito indispensable dentro del proceso de gestin de riesgos y es clave dentro del sistema de gestin de la seguridad de la informacin. Un ataque de denegacin de servicio es un incidente en el cual un usuario o una organizacin son privados de los servicios de un recurso que esperaba obtener. Se dene Denegacin de Servicio o ataque DoS como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legtimo. Es decir, la apropiacin exclusiva de un recurso o servicio con la intencin de evitar cualquier acceso a terceras partes. Los ataques de denegacin de servicio pueden ser provocados por usuarios internos y usuarios externos, los usuarios internos generalmente son usuarios con pocos conocimientos que pueden colapsar el sistema o servicio en forma inconsciente. Los usuarios externos generalmente son usuarios que han conseguido acceso al sistema de forma ilegtima, falseando la direccin de origen con el propsito de evitar la deteccin.

Este tipo de ataques pueden provocar: Parada de todos los servicios de una mquina La mquina slo puede dar determinados servicios La mquina no puede dar servicio a determinados usuarios

Los ataques DoS se pueden llevar a cabo de diferentes formas y cubren infinidad de servicios. Existen tres tipos bsicos de ataque: Consumo de recursos limitados. Destruccin o alteracin de datos. Destruccin o alteracin fsica de componentes de la red. Algunos de los grupos que pueden llevar a cabo este tipo de ataques son: Script Lidies Competencia Militares Empleados incompetentes MEDIDAS DE PROTECCION A NIVEL DE CDIGO: La regla bsica es VALIDAR LAS ENTRADAS!!!. Intentar evitar cdigo que requiera muchas operaciones o un consumo excesivo de la CPU. Comprobar el rendimiento de las funciones e intentar optimizarlas lo mximo posible.

A NIVEL DE RED: Implementar soluciones de balanceo de carga y cache si fuese necesario. Implementar un firewall de aplicacin como ModSecurity que ayuda a protegernos de ataques contra las aplicaciones que se nos hayan podido pasar al revisar el cdigo. Estudiar el retorno de inversin de un sistema comercial de proteccin contra este tipo de ataques e incluirlo en la red si es necesario.

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta la divisin de puestos de trabajo explicada en unidades anteriores.

Curiosamente las protecciones que usaremos (algunas, no todas) son casi las mismas herramientas que usan los crackers y hackers para vulnerar sistemas o probar fallas en la seguridad de las redes. Estas herramientas nos permiten monitorear algunas funciones de red, generar logsticos de dichas funciones y usar esta informacin para detectar un ataque o un sabotaje.

Hoy en da la mayora de los ataques estn automatizados en CDs auto ejecutables que son usados por los atacantes y a su vez por los auditores de seguridad para evaluar los sistemas evaluados. Estadsticamente se dice que a medida que pasan los aos es ms fcil hacer un ataque por que estos estarn cada vez mejor documentados y automatizados.

Basados en el anterior grafico se concluye que al pasar de los aos ser mucho ms fcil hacer un ataque contra un sistema vulnerable, llama la atencin el cruce de las coordenadas x,y en el uso de Sniffers para hacer ataques. La inseguridad informtica es pues una estrategia de reflexin y accin para repensar la seguridad informtica como una disciplina que es al mismo tiempo sentimiento y realidad. [http://www.acis.org.co/archivosAcis/Inseguridad.doc, Jeimy Cano, 2004]

El concepto de seguridad lleva asociado otro concepto que le da sentido: EL VALOR, solo se debe proteger aquello que creemos tiene un valor importante para nosotros, la seguridad debe estar ntimamente asociada al valor que le damos a los objetos que deseamos proteger y debe ser enfocado como un proceso global, por esto se dice que desde el punto de vista legal la SEGURIDAD es el conjunto de bienes y derechos personales o de la organizacin que deben ser protegidos y preservados, tanto del mal uso involuntario como del uso ilcito.

Los logsticos de las actividades de la empresa son INDISPENSABLES para el diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin. Las herramientas que permiten este tipo de operatividad son: Tcp- wrapper, Netlog, Argus, TcpDump, SATAN, ISS, Courtney, Gabriel, Nocol, TcpList. Este tipo de herramientas nos permitir tener una informacin mediante archivo de trazas o logsticos de todos los intentos conexin que se han producido sobre nuestro sistema as como intentos de ataque de forma sistemtica a puertos tanto TCP como de UDP.

Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un pequeo informe en el que explique por qu se deben instalar demonios en el sistema de comunicacin de la empresa, cules y por qu. Daemon: es un programa que se ejecuta en segundo plano, y que no tiene interfaz grfica para comunicarse con el usuario. Su objetivo principal es brindar procesos y servicios de manera silenciosa) que permite a los usuarios tener acceso de terminal a un sistema, es decir, ser clientes del mismo. Un ejemplo es el demonio TELNET, que crea una conexin entre cliente y servidor que sirve para transferir informacin, solo que el login y el password para acceder al sistema es hecho automticamente por el demonio. El problema ac radica en que un cracker puede instalar un sniffer en la red (Sniffer: oledor. Programa que rastrea datos en una red) y pinchar o intervenir el programa cliente de TELNET. Con estas acciones, obtiene los nombres de usuario y las contraseas que se mueven a travs de la red.

Algunos de los demonios que se pueden instalar son: TELNET, el cual ya explicamos anteriormente y ARGUS, que permite auditar el trfico IP que se Produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de la mquina y su salida es mandada bien a un archivo de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc. Al igual que el Netlog, el Argus tambin tiene una herramienta buscadora que permite filtrar los contenidos y ver aquellos que solo nos interesan.

Seleccione las herramientas que considere necesarias para usar en su red de datos, que permitan generar un control de acceso. Tenga en cuenta que estas herramientas seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree el procedimiento de uso de cada una de las herramientas seleccionadas.

TCP- WRAPPER Transparencia para el cliente del host y el servicio de red El cliente que se est conectando as como tambin el servicio de red wrapper no est al tanto de que estn en uso los wrappers TCP Los usuarios legtimos son registrados y conectados al servicio solicitado mientras que las conexiones desde clientes prohibidos fallan Administracin centralizada de protocolos mltiples Los wrappers TCP operan separadamente de los servicios de red que ellos protegen, permitiendo a muchas aplicaciones de servidor compartir un conjunto comn de archivos de configuracin para una administracin ms sencilla

NETLOG Este software de dominio pblico diseado por la Universidad de Texas, es una herramienta que genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red (los programas pueden ejecutarse en modo promiscuo) que pudiera ser "sospechoso" y que indicara un posible ataque a una mquina (por la naturaleza de ese trfico).

 ARGUS Es una herramienta de dominio pblico que permite auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de la mquina y su salida es mandada bien a un archivo de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc. TCPDUMP Es un software de dominio pblico que imprime las cabeceras de los paquetes que pasan por una interfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que tendremos las cabeceras de los paquetes que viajan por la red. SATAN Es un software de dominio pblico creado por Dan Farmer que chequea mquinas conectadas en red y genera informacin sobre el tipo de mquina, qu servicios da cada mquina y avisa de algunos fallos de seguridad que tengan dichas mquinas. Una de las ventajas de SATAN frente a otros paquetes, es que utiliza una interfaz de WWW (como Mosaic, Netscape,..), va creando una base de datos de todas las mquinas chequeadas y las va relacionando entre ellas (de forma que si encuentra una mquina insegura, y chequea otra mquina que est relacionada con sta, automticamente esta segunda quedar marcada tambin como insegura).

ISS ISS (Internet Security Scanner) Es una herramienta de la cual existe versin de dominio pblico que chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. ISS es capaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequear todas las mquinas dentro de ese rango).

COURTNEY Este software de dominio pblico sirve para identificar la mquina origen que intenta realizar ataques mediante herramientas de tipo SATAN. El programa es un script perl que trabaja conjuntamente con TcpDump. Courtney recibe entradas desde TcpDump y controla la presencia de peticiones a nuevos servicios del stack TCP/IP (las herramientas de este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP y UDP que tiene el sistema, para poder ver qu servicios tiene instalados dicha mquina). Si se detecta que se est produciendo un continuo chequeo de estos puertos en un breve intervalo de tiempo, Courtney da un aviso. Este aviso se manda va syslog. GABRIEL Es similar al Courtney, pues permite detectar ataques tipo SATAN. Este programa tiene 2 partes: la parte cliente y la parte servidor. La primera se instala en toda mquina que quiera ser

Monitoreada, y la segunda se instala en la mquina que debe recoger toda la informacin. En el momento en que se detecta un posible ataque, inmediatamente la mquina afectada genera una Alerta va e-mail u otro medio, a la mquina servidor. NOCOL Es un paquete que contiene diversos programas para monitorear la red de una organizacin. Recopila informacin, la analiza, la agrupa en eventos, y le asigna una gravedad, que puede ser: info, warning, error, crtical.

TCPLIST Este programa indica todas las conexiones que usen el protocolo TCP creadas desde la mquina en la que lo estamos ejecutando, o aquellas entrantes a dicha mquina. Tambin es un programa de dominio pblico.

De la misma manera que en el caso anterior, seleccione las herramientas que usar para chequear la integridad de su sistema y realice el procedimiento de uso de cada una de ellas.

COPS Cops es un conjunto de programas diseados por la Universidad de Purdue que chequean ciertos aspectos del sistema operativo UNIX relacionados con la seguridad. Existen dos versiones de este paquete: una versin escrita en "sh" y "C" y otra versin escrita en "perl", aunque su funcionalidad es similar. Este programa es fcil de instalar y configurar y se ejecuta en gran cantidad de plataformas UNIX. En el primer caso necesitaremos un compilador de lenguaje C y una shell estndar (sh), en el segundo nos bastar con tener instalado el intrprete de perl (versin 3.18 o superior). Entre las funcionalidades que tiene Cops podemos destacar.

Chequeo de modos y permisos de los ficheros, directorios y dispositivos. Palabras de paso pobres (en el caso que tengamos una herramienta como crack, podemos comentar la lnea de chequeo de palabras de paso). Chequeo de contenido, formato y seguridad de los ficheros de "password" y "group". Chequeo de programas con root-SUID. Permisos de escritura sobre algunos ficheros de usuario como ".profile" y ".cshrc" Configuracin de ftp "anonymous". Chequeo de algunos ficheros del sistema como "hosts.equiv", montajes de NFS sin restricciones, "ftpusers", etc.

TIGER Es un software desarrollado por la Universidad de Texas que est formado por un conjunto de shell scripts y cdigo C que chequean el sistema para detectar problemas de seguridad de forma parecida a COPS. Una vez chequeado el sistema, se genera un fichero con toda la informacin recogida por el programa. Tiger dispone de una herramienta (tigexp) que recibe como parmetro dicho fichero y da una serie de explicaciones adicionales de cada lnea que gener el programa anterior. El programa viene con un fichero de configuracin donde es posible decirle qu tipo de

chequeo se quiere realizar (podemos comentar las operaciones ms lentas y ejecutar stas de forma menos continuada, mientras que las ms rpidas pueden ser ejecutadas ms frecuentemente). Entre la informacin que chequea el programa tenemos.

Configuracin del sistema. Sistemas de ficheros. Ficheros de configuracin de usuario. Chequeo de caminos de bsqueda. Chequeos de cuentas. Chequeos de alias. Comprueba la configuracin de ftp "anonymous". Chequeo scripts de cron. NFS. Chequeo de servicios en el fichero /etc/inetd.conf Chequeo de algunos ficheros de usuario (.netrc, .rhosts, .profile, etc) Comprobacin ficheros binarios (firmas). Para poder chequear stos es necesario disponer de un fichero de firmas.

CRACK Este paquete de dominio pblico realizado por Alex Muffet permite chequear el fichero de contraseas de UNIX y encontrar palabras de paso triviales o poco seguras. Para ello utiliza el algoritmo de cifrado (DES) utilizado por el sistema UNIX y va comprobando a partir de reglas y de diccionarios, las palabras de paso que se encuentran en el fichero de contraseas, creando un fichero con todos los usuarios y palabras descubiertas. Se realizan una serie de pasadas sobre el fichero de contraseas aplicando la secuencia de reglas que se especifique. Estas reglas se encuentran en dos ficheros (gecos.rules y dicts.rules) y pueden ser modificadas utilizando un lenguaje bastante simple. Para una mayor efectividad pueden utilizarse diccionarios complementarios (existen en gran diversidad en servidores ftp) en diferentes idiomas y sobre diversos temas. Experiencias realizadas en la Universidad Carlos III de Madrid sobre diversas mquinas han arrojado unos resultados de 16% de palabras de paso triviales en mquinas donde no se tena ninguna norma a la hora de poner contraseas de usuario. Es una buena norma pasar de forma peridica el crack para detectar contraseas poco seguras, adems de tener una serie de normas sobre palabras de paso (tanto en su contenido como en la periodicidad con que deben ser cambiadas).

TRIPWIRE Este software de dominio pblico desarrollado por el Departamento de Informtica de la Universidad de Purdue, es una herramienta que comprueba la integridad de los sistemas de ficheros, y ayuda al administrador a monitorizar stos frente a modificaciones no autorizadas. Esta herramienta avisa al administrador de cualquier cambio o alteracin de ficheros en la mquina (incluido binarios). El programa crea una base de datos con un identificador por cada fichero analizado, y puede ser comparado en cualquier momento el actual con el registrado en la base de datos, avisando ante cualquier alteracin, eliminacin o inclusin de un nuevo fichero en el sistema de ficheros. La base datos est compuesta por una serie de datos como la fecha de la

ltima modificacin, propietario, permisos, etc. con todo ello se crea una firma para cada fichero en la base de datos. Esta herramienta debera ser ejecutada despus de la instalacin de la mquina, para tener una "foto" de los sistemas de ficheros en ese momento, y puede ser actualizada cada vez que aadimos algo nuevo. Dispone de un fichero de configuracin que permite decidir qu parte del sistema de ficheros va a ser introducida en la base de datos para su posterior comprobacin.

CHKWTMP Es un pequeo programa que chequea el fichero "/var/adm/wtmp" y detecta entradas que no tengan informacin (contienen slo bytes nulos). Estas entradas son generadas por programas tipo "zap" que sobrescriben la entrada con ceros, para as ocultar la presencia de un usuario en la mquina. Este programa detecta esa inconsistencia y da un aviso de modificacin del fichero y entre qu espacio de tiempo se produjo. CHKLASTLOG Parecido al programa anterior. ste chequea los ficheros "/var/adm/wtmp" y "/var/adm/lastlog". El primero es la base de datos de login, y el segundo la informacin del ltimo login de un usuario. En el segundo fichero nos indica qu usuario ha sido eliminado del fichero. SPAR Software de dominio pblico diseado por CSTC (Computer Security Technology Center) realiza una auditora de los procesos del sistema, mucho ms flexible y potente que el comando lastcomm de UNIX. El programa lee la informacin recogida por el sistema y puede ser consultada con una gran variedad de filtros como. Usuario, grupo, dispositivo, admitiendo tambin operadores (=, >, <, >=, &&...). Por defecto el programa obtiene la informacin del fichero "/var/adm/pacct". Pero se le puede indicar otro fichero. La informacin puede ser mostrada en ASCII o en binario para su posterior proceso con spar.

LSOF Este programa de dominio pblico creado por Vic Abell, nos muestra todos los ficheros abiertos por el sistema, entendiendo por fichero abierto: un fichero regular, un directorio, un fichero de bloque, fichero de carcter, un fichero de red (socket, fichero NFS). El programa admite varios parmetros que nos permiten filtrar informacin dependiendo qu tipo de procesos queramos ver en ese instante. Este software est disponible para una gran variedad de plataformas: Aix 3.2.3, HP-UX 7.x y 8.x, IRIX 5.1.1, SunOs 4.1.x, Ultrix 2.2 y 4.2, Solaris 2.3, NetBSD ... CPM Este pequeo programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la mquina descubriendo si est siendo utilizado en modo promiscuo (escuchando todo el trfico de la red). Est herramienta es muy til, porque nos alerta de la posible existencia de un "sniffer" (olfateador) que intente capturar informacin en nuestra red como puedan ser las palabras de paso. Este programa debera ser ejecutado de forma peridica para detectar lo antes posible el estado promiscuo en la placa de red. Una forma til de utilizarlo es mandarnos el resultado va correo electrnico.

Es bueno tener en cuenta que muchos de los programas descritos en este documento pueden poner la placa en modo promiscuo con lo que deberemos asegurarnos que no son nuestros programas los que producen esa alerta. Generalmente los programas tipo "sniffer" suelen estar ejecutndose como procesos camuflados en el sistema.

IFSTATUS Software de dominio pblico creado por Dave Curry, permite (al igual que el anterior) descubrir si un interfaz de red est siendo utilizado en modo promiscuo para capturar informacin en la red. Sirven todas las recomendaciones dichas anteriormente. Veamos un ejemplo del mensaje que genera esta aplicacin, cuando encuentra un interfaz de red ejecutado en modo promiscuo.

OSH
Creado por Mike Neuman, este software de dominio pblico es una shell restringida con "setuid root", que permite indicar al administrador mediante un fichero de datos qu comandos puede ejecutar cada usuario. El fichero de permisos est formado por nombres de usuario y una lista de los comandos que se permite a cada uno de ellos, tambin es posible especificar comandos comunes a todos ellos. Esta shell deja una auditora de todos los comandos ejecutados por el usuario (indicando si pudo o no ejecutarlos), adems dispone de un editor (vi) restringido. Este programa es de gran utilidad para aquellas mquinas que dispongan de una gran cantidad de usuarios y no necesiten ejecutar muchos comandos, o para dar privilegios a determinados usuarios "especiales" que tengan que ejecutar algn comando que en circunstancias normales no podran con una shell normal.

NOSHELL
Este programa permite al administrador obtener informacin adicional sobre intentos de conexin a cuentas canceladas en una mquina. Para utilizarlo basta sustituir la shell de usuario en el fichero /etc/password por este programa. A partir de ahora cada intento de conexin generar un mensaje (va correo electrnico o syslog) indicando: usuario remoto, nombre del ordenador remoto, direccin IP, da y hora del intento de login y tty utilizado para la conexin. TRINUX. Ms que un programa, es un conjunto de herramientas para monitorear Redes que usan el protocolo TCP-IP. Esta herramienta no se instala en el Sistema, sino que es usada directamente desde el dispositivo de Almacenamiento en que se encuentra, corriendo enteramente en la memoria RAM del computador. Este paquete trae aplicaciones para controlar el trfico de mails entrantes y Salientes, herramientas bsicas de redes, detector de sniffers, y herramientas De seguridad para los servidores de nuestra organizacin.