La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Fortificación de redes locales Agenda 09:45 - 11:15 Ataques de infraestructura en redes de Datos –Técnicas de Spoofing –Contramedidas 11:15 - 11:45 Café

Presentaciones similares


Presentación del tema: "Fortificación de redes locales Agenda 09:45 - 11:15 Ataques de infraestructura en redes de Datos –Técnicas de Spoofing –Contramedidas 11:15 - 11:45 Café"— Transcripción de la presentación:

1

2 Fortificación de redes locales

3 Agenda 09: :15 Ataques de infraestructura en redes de Datos –Técnicas de Spoofing –Contramedidas 11: :45 Café 11: :00 Fortificación de Servidores –Principios –Metodología –Herramientas 13: :30 Gestion de políticas de Seguridad –Aplicación de GPO –Procesamiento GPO –Planificación –GPMC

4 Seguridad La seguridad depende de 3 factores: –Tecnología: Estándares Productos de los fabricantes Desarrollos personales –Procesos: Procedimientos y operaciones en nuestros entornos –Personas: Formación vertical del personal de la empresa

5 ¿Porque Atacan? Motivos Personales Desquitarse Fundamentos políticos o terrorismo Gastar una broma Lucirse y presumir Motivos Financieros Robar información Chantaje Fraudes Financieros Hacer Daño Alterar, dañar or borrar información Deneger servicio Dañar la imagen pública

6 Motivos La tecnología tiene fallos. Es muy fácil hacerlo. No hay conciencia clara del delito Porque es divertido

7 Impacto de los Ataques Pérdida de Beneficios Deterioro de la confianza de los inversores Daños en la reputación Datos comprometidos Interrupción de los procesos de Negocio Daños en la confianza de los clientes Consecuencias legales (LOPD/LSSI)

8 Incidentes Reportados al CERT Data Source: CERT (

9 Vulnerabilidades por Años Data Source: CERT (

10 Sofisticación de los Ataques vs. Conocimientos requeridos

11 Ataques a redes TCP/IP

12 El Modelo OSI 1.Físico 2. Conexión 3. Red 4. Transporte 5. Sesión 6. Presentación 7. Aplicación

13 ARP, RARP En Realidad el TCP/IP Cuatro capas son suficientemente representativas 1. interface 2. Red 3. Transporte 4. Aplicación IP, ICMP, IGMP TCP, UDP, IPsec HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … 8-5. usuario

14 RFC TCP/IP tutorial There are security considerations within the TCP/IP protocol suite. To some people these considerations are serious problems, to others they are not; it depends on the user requirements. This tutorial does not discuss these issues, but if you want to learn more you should start with the topic of ARP-spoofing, then use the "Security Considerations" section of RFC 1122 to lead you to more information.

15 Técnicas de Spoofing Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

16 Técnicas de Sniffing Capturan tráfico de red. Necesitan que la señal física llegue a la tarjeta de red. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. –Switches utilizan dirección MAC.

17 Niveles Afectados SERVICIO RED Dirección IP ENLACE Dirección MAC Nombres de dominio Direcciones de correo electrónico Nombres de recursos compartidos

18 Tipos de técnicas de Spoofing Spoofing ARP –Envenenamiento de conexiones. –Man in the Middle. Spoofing IP –Rip Spoofing. –Hijacking. Spoofing SMTP Spoofing DNS –Phising.

19 Sniffing + Spoofing Hijacking (secuestro) Y Envenenamiento Técnicas Combinadas

20 Nivel de Enlace: Spoofing ARP Suplantar identidades físicas.. Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar identidades en switches de comunicaciones. Solo tiene sentido en comunicaciones locales.

21 Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Dirección MAC Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce.

22 Sniffing en Redes de Difusión PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtrafiltra

23 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en Redes Conmutadas

24 Envenenamiento de Conexiones Man in the Middle La técnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.

25 Ataque ARP M an I n T he M iddle ¿Quien tiene ? esta en 99:88:77:66:55: esta en 00:11:22:33:44:55: esta en 99:88:77:66:55:44

26 Man in the Middle Sirve como plataforma para otros ataques. DNS Spoofing. Phising. Hijacking. Sniffing Se utiliza para el robo de contraseñas.

27 Demostración Envenamiento entre hosts. –Robo de contraseñas. –DNS Hijacking. –Phising (WebSpoofing). –HTTPS Spoofing.

28 Generación del Hash LM Se rellena hasta 14 caracteres con Nulos Se convierte a Mayúsculas. Se separa en 2 strings de 7 caracteres Key Constante Seattle1 SEATTLE1****** = + Hash LM Key Constante Concatena DESDES

29 Consideraciones del Hash LM En realidad no en un hash Tiene un Set de Caracteres Limitado –Solo se utilizan caracteres alfanuméricos comunes –No distingue Mayúsculas y Minúsculas –142 símbolos Se rellena hasta 14 caracteres –2 contraseñas de siete caracteres El Nº Máximo de contraseñas posibles es 6.8*10 12 Unsalted (Sin aliñar)

30 Generación de un Hash NT Se calcula el Hash de la contraseña Se almacena. unicodePwd Seattle1 MD4

31 Consideraciones del Hash NT Preserva las Mayúsculas y Minúsculas –65,535 símbolos (Todo el Set Unicode) Máxima longitud = 127 caracteres Contraseña de Nº Caracteres 14 usando el set de Caracteres LM tendremos ahora hasta 4.6*10 25 Hashes diferentes Se admiten mayúsculas y minúsculas El hash es de la contraseña completa y no dos de 7 Si Nº Caracteres de la contraseña 14 (full char set) 2.7*10 67 Si se utilizan contraseñas de 127 caracteres 4.9* Unsalted

32 Salting Previene el que se pueda derivar o deducir la contraseña del fichero de contraseñas. Su presentación y almacenamiento difiere Efecto lateral: vence los ataques de hash pre-calculados Alice:root:b4ef21:3ba4303ce24a83fe de02bf38d Bob:root:a9c4fa:3282abd ef0349dc7232c349ac Cecil:root:209be1:a483b303c23af34761de02be038fde08 Misma Contraseña

33 Ventajas del Salting Sin Salt, los atacantes pueden pre-computar los hashes de todas las palabras del dicionario una vez para todo el fichero de passwords. –Same hash function on all UNIX machines –Identical passwords hash to identical values; one table of hash values can be used for all password files Con Salt, los atacantes deben de calculara los hashes de todas las palabras del diccionario una vez para cada entrada del fichero de passwords. –With 12-bit random salt, same password can hash to 2 12 different hash values –Attacker must try all dictionary words for each salt value in the password file

34 Vulnerabilidad Kerberos Casi todo el mundo conoce las debilidades de LM/NTLM. El Sniffing de Kerberos es menos conocido Muchos administradores todavía piensan que KERBEROS es inexpugnable. El ataque lo explico por primera vez Frank ODwyer en 2002 El problema radica en un único paquete de pre- autenticación. En este paquete se envía el timestamp cifrado con una clave derivada de la contraseña del usuario.

35 Autenticación Kerberos Cliente KDC KRB_AS_REQ KRB_AS_REP KRB_TGS_REQ KRB_TGS_REP...

36 Autenticación de credenciales (AS Exchange) El cliente inicia la comunicación solicitando la autenticación –KRB_AS_REQ El KDC contesta afirmativamente o con un error –KRB_AS_REP –KRB_ERROR

37 Solicitud de autenticación (KRB_AS_REQ) Este mensaje tiene cuatro campos: –Versión del protocolo Kerberos usado = V5 –Tipo del mensaje = KRB_AS_REQ –Datos de pre-autenticación = PADATA –Información de la solicitud: Nombre del cliente, dominio,... Protocol Version Number Tipo del Mensaje KRB_AS_REQ PA DATA Cuerpo del Mensaje

38 Datos de Pre-Autenticación (PADATA) OPCIONAL Se utiliza para prevenir ataques offline –El KDC puede verificar el PDDATA y responder sólo a clientes pre-autenticados –Si no hay pre-autenticación, el KDC enviaría respuestas que un atacante podría intentar descifrar off-line

39 Datos de Pre-Autenticación (PADATA) Contiene: –Un sello de tiempo de la solicitud en ASCII con el siguiente formato: YYYYMMDDHHMMSSZ Cifrado con una clave derivada de la contraseña del usuario

40 Generación PADATA (RC4-HMAC) Contraseña HMAC Clave (K) RC4 PA DATA YYYYMMDDHHMMSSZ

41 Verificación PADATA (RC4-HMAC) Clave (K) RC4 PA DATA YYYYMMDDHHMMSSZ KDC

42 Ataque PADATA (RC4-HMAC) Contraseñafactible HMAC Clave (K) RC4 PA DATA ??????????????????? Diccionario YYYYMMDDHHMMSSZ ¿Tiene formato de fecha?

43 Contramedidas

44 Protección contra Envenenamiento de Conexiones Medidas preventivas. –Control físico de la red. Bloqueo de puntos de acceso. Segmentación de red. –Gestión de actualizaciones de seguridad. Protección contra Exploits. Protección contra troyanos. –Fortificación Switches

45 Protección contra Envenenamiento de Conexiones Utilización de detectores de Sniffers. –Utilizan test de funcionamiento anómalo. Test ARP Sistemas de detección de Intrusos –Comprobación de pares IP MAC Carga estática de tablas ARP

46 Medidas de protección contra crackeo de passwords Seleccionar una contraseña fuerte Usar IPSec para cifrado de Kerberos Utilizar Smart Card

47 Frase vs. Passwords


Descargar ppt "Fortificación de redes locales Agenda 09:45 - 11:15 Ataques de infraestructura en redes de Datos –Técnicas de Spoofing –Contramedidas 11:15 - 11:45 Café"

Presentaciones similares


Anuncios Google