Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras

Presentación del tema: "Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras"— Transcripción de la presentación:

1 Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras
Código: HOL-IIS01 Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras Joshua Sáenz G.

2 Agenda Introducción a los servicios de Internet. Mejoras de IIS 6.0.
Arquitectura IIS 6.0. Aplicaciones Web. Sitios Web Seguros. Autenticación Control de acceso a Bases de datos Certificados de seguridad Filtrado de puertos TCP/UDP Encriptación con IPSec Vulnerabilidades. Cross-Site Scripting Phising Sql Injection WebTrojan Capa 8

3 Introducción a los servicios de Internet
IIS 6.0 proporciona capacidad de Servidor Web en Intranet, Internet o Extranet. Puede ser implementado en diferentes entornos. PYMES Grandes empresas

4 Introducción a los servicios de Internet
IIS 6.0 no se instala por defecto en Windows Server 2003 Ayuda a proteger los sistemas de ataques a servicios no utilizados o no monitorizados. Las extensiones de servicios Web están bloqueadas por defecto. IIS solo sirve contenido estático. Es necesario habilitar manualmente las extensiones específicas ASP ASP.NET Server-Side Includes WebDAV publishing FrontPage® 2002 Server Extensions Si no se habilitan IIS responde con un error HTTP 404 (“File or directory not found”).

5 Mejoras de IIS 6.0 Confiabilidad. Manejabilidad. Seguridad.
Mejor confiabilidad al poder aislar aplicaciones unas de otras. Manejabilidad. Mejor manejabilidad al poder adaptar la Metabase mediante ficheros XML configurables. Seguridad. Seguridad reforzada basada en una estrategia de seguro por defecto. Rendimiento y escalabilidad. Rendimiento mejorado gracias al aislamiento dentro de los procesos. Mejor escalabilidad al ofrecer una arquitectura que permite consolidar sitios y aplicaciones en menos Servidores.

6 Arquitectura de IIS 6.0 IIS 6.0 se puede ejecutar en uno de los dos modelos de procesamiento: Worker process isolation mode IIS 5.0 isolation mode

7 Worker process isolation mode
Ofrece todas las ventajas de la arquitectura rediseñada de IIS 6.0 Se pueden agrupar las aplicaciones Web en Conjunto de aplicaciones (Application Pools) Proporciona aislamiento de aplicaciones sin disminución del rendimiento.

8 IIS 5.0 Isolation mode Se mantiene la compatibilidad con aplicaciones que dependen de características específicas de IIS 5.0 También se pueden aislar aplicaciones Low Isolation (in-process) Medium isolation (pooled out of process) High isolation (out of process) Disminuye el rendimiento.

9 IIS 5.0 Isolation mode Consideraciones de seguridad:
Cuando IIS 6.0 corre en modo IIS 5.0, las aplicaciones Web establecidas en modo Low isolation corren con la cuenta local de sistema (Local System account.) La cuenta local de sistema tiene acceso a todos los recursos del equipo. En los modos Medium o High isolation, las aplicaciones corren por defecto con la cuenta IWAM_ComputerName.

10 Arquitectura de IIS 6.0 Functionality IIS 4.0 IIS 5.0 IIS 5.1 IIS 6.0
Platform Microsoft® Windows NT® 4.0 operating system Windows® 2000 Server operating Windows® XP Professional operating system Windows Server 2003 Architecture 32-bit 32-bit and 64-bit Network subsystem TCP/IP kernel HTTP.sys kernel Application Request Processing model MTX.exe: Multiple DLL hosts in High application isolation. Inetinfo.exe: In‑process as DLLs with Low isolation. DLLHost.exe: Multiple DLL hosts in Medium or High application isolation. W3wp.exe: In worker process isolation mode (multiple worker processes). Inetinfo.exe: Only in IIS 5.0 isolation mode with in-process applications. DLLHost.exe: Only in IIS 5.0 isolation mode with out-of-process applications.

11 Arquitectura de IIS 6.0 Functionality IIS 4.0 IIS 5.0 IIS 5.1 IIS 6.0
Metabase configuration Binary XML Security Windows authentication Secure Sockets Layer (SSL) SSL Kerberos .NET Passport support Remote administration HTMLA1 HTMLA No HTMLA Terminal Services Remote Administration Tool (HTML)

12 Arquitectura de IIS 5.0 isolation mode

13 Arquitectura de IIS 6.0 worker process mode

14 Arquitectura IIS 6.0 Procesamiento de solicitudes HTTP en modo Worker Process Isolation Mode

15 Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo Worker Process Isolation Mode

16 Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo IIS 5.0 con Low Isolation Mode

17 Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo IIS 5.0 con High Isolation Mode

18 Servicios de IIS 6.0 Nombre del Servicio Descripción Nombre Corto
Componente Principal Host World Wide Web Publishing Service (WWW service) Delivers Web publishing services. W3SVC Iisw3adm.dll Svchost.exe File Transfer Protocol (FTP) Allows file uploads and downloads from remote systems. MSFTPSVC Ftpsvc2.dll Inetinfo.exe Simple Mail Transfer Protocol (SMTP) Sends and receives electronic messages ( ). SMTPSVC Smtpsvc.dll Network News Transfer Protocol (NNTP) Distributes network news messages. NNTPSVC Nntpsvc.dll IIS Admin Service Manages the metabase. IISADMIN Iisadmin.dll

19 Tipos de Aplicaciones Web
Web Site público. Información destinada al público. Intranet (ERP/CRM/Productividad) Información privada de acceso interno. Extranet (Productividad/B2B/B2C) Información privada de acceso externo.

20 Arquitectura Multicapa
Interfaz de Usuario (GUI) Lógica de la Aplicación Almacén de Datos DCOM WebService Web Servers RPC

21 Arquitectura: Cliente
Navegador de Internet: Ejecuta código en contexto de usuario. Lenguajes potentes: HTML/DHTML vbScript/JavaScript/Jscript Programas embebidos Applets Java ActiveX Shockwave Flash Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.

22 Arquitectura: Lógica de Aplicación
Servidor Web Ejecuta código en contextos privilegiados. Lenguajes potentes Acceden a BBDD Envían programas a clientes Transferir ficheros Ejecutar comandos sobre el sistema. Soporte para herramientas de administración de otro software. Códigos de Ejemplo

23 Arquitectura: Almacén de Datos
SGBD Lenguaje de 3ª y 4ª Generación. Soporta múltiples bases de datos. Catálogo global de datos. Ejecuta programas sobre Sistema. LOPD. Transacciones económicas. Información clave de negocio.

24 Mejoras de seguridad en IIS 6.0
IIS se instala en modo seguro por defecto. Extensiones “Multipurpose Internet Mail Extensions” (MIME) restrictivas. Múltiples procesos de ejecución (worker processes) afectan el estado del filtro Internet Server API (ISAPI). La funcionalidad ASP y ASP.NET está deshabilitada por defecto. Las rutas de acceso primarias están deshabilitadas por defecto (..\) [AspEnableParentPaths]. Los eventos de Global.asa se ejecutan como usuario anónimo. [AspRunOnEndAnonymously] La sincronzación de contraseñas anónimas está deshabilitado por defecto. Autenticación Microsoft® .NET Passport authentication requiere derechos de la cuenta LocalSystem. El acceso a ejecutables está restringido.

25 Cuentas de seguridad integradas en IIS 6.0
LocalSystem Alto nivel de derechos de acceso Parte del grupo de Administradores. Si un proceso de ejecución corre con LocalSystem, tiene acceso completo al sistema. En el modo de aislamiento IIS 5.0, esta es la cuenta de ejecución por defecto para los procesos Network Service Tiene menos derechos que LocalSystem Puede interactuar en la red con las credenciales del equipo Es la cuenta establecida por defecto en IIS 6.0 para los procesos de los conjuntos de aplicaciones Replace a process-level token (SeAssignPrimaryTokenPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege) Generate security audits (SeAuditPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege) Access this computer from a network (SeNetworkLogonRight) Log on as a batch job (SeBatchLogonRight) Log on as a service (SeInteractiveLogonRight) Allow log on locally (SeInteractiveLogonRight)

26 Cuentas de seguridad integradas en IIS 6.0
Local Service Tiene menos derechos que la cuenta Network Service. Los derechos están limitados al equipo local. Se puede utilizar si el proceso no requiere acceso externo al servidor en donde se ejecuta Tiene los siguientes derechos Replace a process-level token (SeAssignPrimaryTokenPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege) Generate security audits (SeAuditPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege) Access this computer from a network (SeNetworkLogonRight) Log on as a batch job (SeBatchLogonRight)

27 Cuentas de seguridad integradas en IIS 6.0
IIS_WPG Tiene los mínimos derechos necesarios para iniciar y ejecutar procesos en el servidor Web. Tiene los siguientes derechos: Log on as a batch job (SeBatchLogonRight) Impersonate a client after authentication (SeImpersonatePrivilege) IUSR_ComputerName Se utiliza para el acceso anónimo a IIS. El usuario que accede con autenticación anónima es mapeado a esta cuenta de seguridad. Access this computer from a network (SeNetworkLogonRight) Bypass traverse checking (SeChangeNotifyPrivilege) Allow log on locally (SeInteractiveLogonRight)

28 Cuentas de seguridad integradas en IIS 6.0
IWAM_ComputerName Se utiliza para iniciar aplicaciones con aislamiento de procesos en el modo de aislamiento IIS 5.0. Tiene los siguientes derechos: Replace a process-level token (SeAssignPrimaryTokenPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege) Access this computer from a network (SeNetworkLogonRight) Log on as a batch job (SeBatchLogonRight) ASPNET Se utiliza para ejecutar el proceso ASP.NET en el modo de aislamiento IIS 5.0. Log on as a service (SeInteractiveLogonRight) Deny logon locally (SeDenyInteractiveLogonRight) Deny logon through Terminal Services (SeDenyRemoteInteractiveLogonRight)

29 Sitios Web Seguros IIS 6.0 soporta los siguientes métodos de autenticación: Autenticación anónima. Autenticación Básica. Las credenciales se envían sin encriptar. Autenticación Digest. Parecido al básico, excepto que la contraseña se envía como un valor Hash. Solo disponible en dominios con DC Windows. Autenticación avanzada Digest. Las credenciales se almacenan como Message Digest (MD5) hash en Active Directory en el DC Windows 2003. Autenticación integrada. Utiliza tecnología de encriptación Autenticación .NET Passport. Servicio de autenticación que permite a los usuarios tener un único inicio de sesión. Autenticación con Certificados. Utiliza certificados Secure Sockets Layer (SSL) para autenticar servidores y clientes.

30 Crosses Proxy Servers and Firewalls
Sitios Web Seguros Method Security Level How Passwords Are Sent Crosses Proxy Servers and Firewalls Client Requirements Anonymous authentication None N/A Yes Any browser Basic authentication Low Base64 encoded clear text Yes, but sending passwords across a proxy server or firewall in clear text is a security risk because Base64 encoded clear text is not encrypted. Most browsers Digest authentication Medium Hashed Internet Explorer 5 or later Advanced Digest authentication Integrated Windows authentication High Hashed when NTLM is used; Kerberos ticket when Kerberos is used. No, unless used over a PPTP connection Internet Explorer 2.0 or later for NTLM; Windows 2000 or later with internet Explorer 5 or later for Kerberos Certificate authentication Yes, using an SSL connection Internet Explorer and Netscape .NET Passport authentication Encrypted

31 Sitios Web seguros Control de acceso a Bases de Datos:
Utilizar los permisos incorporados en la aplicación de bases de datos del DBMS. Utilizar data source name (DSN). Utilizar permisos NTFS. Utilizar subwebs para restringir el acceso a una sección del Web site. Utilizar un método de autenticación apropiado para la aplicación Web

32 Sitios Web seguros Certificados de seguridad
Los Certificados son documentos digitales de identificación Permiten a los clientes y servidores autenticarse mutuamente. Incluyen llaves que establecen una conexión encriptada SSL. El proceso de autenticación y transmisión de datos está basado en el par de llaves pública y privada. Además se crea una llave de sesión para la transmisión de datos.

33 Default TCP Port Number
Sitios Web seguros Filtrado de puertos TCP Default TCP Port Number Internet Service 20 FTP Data Channel 21 FTP Control Channel 23 Telnet (enabled on some intranet or Internet servers) 25 Simple Mail Transfer Protocol (SMTP) 80 HTTP for World Wide Web 119 Network News Transfer Protocol (NNTP) 443 Hypertext Transfer Protocol over TLS/SSL (HTTPS) for secure World Wide Web 563 Network News Transfer Protocol over TLS/SSL (NNTPS)

34 Sitios Web Seguros Filtrado de puertos UDP UDP Port Number Service 53
DNS name queries (supports some Internet services) 161 SNMP

35 Sitios Web Seguros Encriptación con IPSec
Internet Protocol security (IPSec) está diseñado para encriptar los datos que viajan en la red. La configuración en Windows 2000/2003 está basada en directivas de seguridad Proporciona un método robusto de seguridad de punto a punto.

36 IPSec - Definición IPSec es un protocolo que sirve para proteger las comunicaciones entre equipos. Ofrece las siguientes características: Authenticacion Integridad Confidencialidad (encriptación) Authentication Verifies the origin and integrity of a message by assuring the genuine identity of each computer. Without strong authentication, an unknown computer and any data it sends is suspect. IPSec provides multiple methods of authentication, ensuring compatibility with legacy systems, remote computers, and computers running other operating systems. Integrity Protects data from unauthorized modification in transit, ensuring that the data received is exactly the same as the data sent. Hash functions sign each packet with a cryptographic checksum, which the receiving computer checks before opening the packet. If the packet (and therefore the signature) has changed, the packet is discarded. Confidentiality (encryption) Ensures that data is disclosed only to intended recipients. This is achieved by encrypting the data before transmission. It ensures that the data cannot be read during transmission, even if the packet has been monitored or intercepted. Only the parties with the shared, secret key can decrypt and read the data. This property is optional and is dependent upon IPSec policy settings. Anti-replay (also called replay prevention) Provides for the uniqueness of each IP packet. Anti-replay ensures that data intercepted by an attacker cannot be reused or replayed to establish a session or illegally gain information or access to resources.Limited Traffic Flow Confidentiality. IPSec encryption of IP packet contents include the protocol headers which appear after the IP header in normal, unsecured IP packets (e.g. TCP port 80). This an IPSec ESP encrypted packet does not show the type of traffic that is being secured. However, since IPSec is defined to secure an IP packet, the behavior of the upper layer protocol is preserved in terms of the size and timing of packets sent and received. IPSec encryption could also be used to add extra data to packets to change the length of packets so that attackers have a more difficult time determining the role of a packet in an upper layer protocol (e.g. a TCP ACK). And IPSec allows many traffic types to be secured in the same way (e.g. all TCP and UDP traffic secured by the same IPSec security association). However, the IPSec architecture does not provide strong protection against traffic analysis which are sophisticated observation techniques to guess what protocol and data is being carried. So it is expected that an attacker could discover which protocol is being secured in some cases by observing the flow of IPSec protected packets.

37 IPSec - Objetivos Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante : Autenticación de la cabecera. Cifrado del contendio. Defender los equipos contra ataques de red: Filtrado de conexiones (sniffing). Autenticación de conexiones. By its design, TCP/IP is an open protocol created to connect heterogeneous computing environments with the least amount of overhead possible. As is often the case, interoperability and performance design goals do not generally result in security—and TCP/IP is no exception to this. TCP/IP provides no native mechanism for the confidentiality or integrity of packets. To secure TCP/IP, you can implement IP Security. IPSec implements encryption and authenticity at a lower level in the TCP/IP stack than application-layer protocols such as Secure Sockets Layer (SSL) and Transport Layer Security (TLS). Because the protection process takes place lower in the TCP/IP stack, IPSec protection is transparent to applications. IPSec is a well-defined, standards-driven technology. The IPSec process encrypts the payload after it leaves the application at the client and then decrypts the payload before it reaches the application at the server. An application does not have to be IPSec aware because the data transferred between the client and the server is normally transmitted in plaintext. IPSec is comprised of two protocols that operate in two modes with three different authentication methods. IPSec is policy driven and can be deployed centrally by using Group Policy. To deploy IPSec, you must determine the Protocol Mode Authentication methods Policies

38 IPSec - Políticas Se configura mediante políticas
Almacenadas en el Directorio Activo o en en Registro Local del Servidor. Controlan la entrada y salida de paquetes permitidos en un determinado interfaz. Las Politicas IPSec están formadas por listas de filtros. Están compuestas de asociaciones de acciones y protocolos. Se definen a nivel de protocolo o a nivel de puerto. Acciones permitidas: Bloquear. Permitir. Pedir seguirdad. Se aplica el filtro más permisivo. IPSec policies, rather than applications, are used to configure IPSec services. The policies provide variable levels of protection for most traffic types in most existing networks. IPSec policies are based on your organization's guidelines for secure operations. There are two storage locations for IPSec policies: Active Directory The registry on a local computer You can configure IPSec policies to meet the security requirements of a domain, site, or organizational unit for an Active Directory domain. IPSec policy can also be implemented in a non-Active Directory domain environment by using local IPSec policies. IPSec policies are based on IP filter lists and IP filter actions. An IP filter list is a list of protocols and folders. For example, you can create a filter list entry that allows all computers to gain access to TCP port 80 on the local interface. Another entry in the same filter list might allow access to TCP port 25 on the local interface, and a third filter list entry might allow access to User Datagram Protocol (UDP) port 53 on the local interface. If a packet that arrives on the computer interface has a matching entry on the filter list, IPSec Policy Agent applies a filter action that you assign to the filter list. For example, if you assign a Block filter action to the above filter list. When you do this, any packet that is destined for TCP port 80, TCP port 25, or UDP port 53 is blocked. However, if you assign a Permit filter action to the above filter list, the packets that are destined for TCP port 80, TCP port 25, or UDP port 53 is allowed. You can use IPSec filter lists and filter actions as an effective method of access control on all interfaces. Note that IPSec policies are applied to all interfaces on a multiple-homed computer. There is no procedure that you can use to allow selective application of IPSec policies to a particular interface. Note For information on how to create IPSec policies, go to Filter Actions For each filter rule, you must choose a filter action. The filter action defines how the traffic defined in the IP filter will be handled by the filter rule. Permit Allows packets to be transmitted without IPSec protection. For example, Simple Network Management Protocol (SNMP) includes support for devices that might not be IPSec aware. Enabling IPSec for SNMP would cause a loss of network management capabilities for these devices. In a highly secure network, you could create an IPSec filter for SNMP and set the IPSec action to Permit to allow SNMP packets to be transmitted without IPSec protection. Block Discards packets. If the associated IPSec filter is matched, all packets with the block action defined are discarded. Negotiate Security Allows an administrator to define the desired encryption and integrity algorithms to secure data transmissions if an IPSec filter is matched.

39 IPSec - Políticas Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.

40 IPSec - Política de cliente.
Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

41 IPSec - Política de servidor.
Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones IP, ICMP y el resto de tráfico.

42 IPSec - Política Servidor Seguro
El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones IP, ICMP y el resto de tráfico.

43 IPSEC - Reglas Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.

44 IPSec - Filtros En la configuración de los filtros hay que especificar los siguientes parámetros: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes o equipos se van a ver afectados. El método de autentificación para la transmisión. Métodos de seguridad. Las acciones de filtrado.

45 IPSec - Autenticación Kerberos Certificados Secretos Compartidos.
Requiere tiempo de sincronización. Solo dentro del bosque. Certificados Requiere la implementación de PKI. CRL está deshabilitado por defecto. Secretos Compartidos. Tan seguro como sea el secreto. En entornos grandes es dificil de mantener. Selecting an IPSec Authentication Method During the initial construction of the IPSec session—also known as the Internet Key Exchange, or IKE—each host or endpoint authenticates the other host or endpoint. When configuring IPSec, you must ensure that each host or endpoint supports the same authentication methods. IPSec supports three authentication methods: Kerberos X.509 certificates Preshared key Authenticating with Kerberos In Windows 2000 and Windows XP, Kerberos is used for the IPSec mutual authentication by default. For Kerberos to be used as the authentication protocol, both hosts or endpoints must receive Kerberos tickets from the same Active Directory directory service forest. Thus, you should choose Kerberos for IPSec authentication only when both hosts or endpoints are within you own organization. Kerberos is an excellent authentication method for IPSec because it requires no additional configuration or network infrastructure. IMPORTANT Some types of traffic are exempted by default from being secured by IPSec, even when the IPSec policy specifies that all IP traffic should be secured. The IPSec exemptions apply to Broadcast, Multicast, Resource Reservation Setup Protocol (RSVP), IKE, and Kerberos traffic. Kerberos is a security protocol itself, can be used by IPSec for IKE authentication, and was not originally designed to be secured by IPSec. Therefore, Kerberos is exempt from IPSec filtering. To remove the exemption for Kerberos and RSVP, set the value NoDefaultExempt to 1 in the registry key HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC, or use the Nodefaultexempt.vbs script located in the Tools\Scripts folder on the CD included with this book. Authenticating with X.509 Certificates You can use X.509 certificates for IPSec mutual authentication of hosts or endpoints. Certificates allow you to create IPSec secured sessions with hosts or endpoints outside your Active Directory forests, such as business partners in extranet scenarios. You also must use certificates when using IPSec to secure VPN connections made by using Layer Two Tunneling Protocol (L2TP). To use certificates, the hosts must be able to validate that the other’s certificate is valid. Authenticating with Preshared Key You can use a preshared key, which is a simple, case-sensitive text string, to authenticate hosts or endpoints. Preshared key authentication should be used only when testing or troubleshooting IPSec connectivity because the preshared key is not stored in a secure fashion by hosts or endpoints.

46 Vulnerabilidades: Cross-Site Scripting (XSS)

47 Explotación del Ataque
Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

48 Riesgos Ejecución de código en contexto de usuario que visualiza datos. Navegación dirigida Webspoofing Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

49 Tipos de Ataques Mensajes en Foros. Firma de libro de visitas.
Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

50 Contramedidas Fortificación de aplicación Fortificación de Clientes
Comprobación fiable de datos Fortificación de Clientes Ejecución de clientes en entorno menos privilegiado. Fortificación de navegador cliente. MBSA. Políticas.

51 XSS - Ejemplos

52 XSS - Ejemplos

53 Vulnerabilidades: Phising

54 Explotación del Ataque
Basado en técnicas de Ingeniería Social. Se aprovecha de la confianza de los usuarios. Se aprovecha de la falta de formación en seguridad de los usuarios. Certificados digitales no generados por Entidades Emisoras de Certificados de confianza.

55 Riesgos Suplantación de Sitios Web para engañar al usuario.
Robo de credenciales de acceso a web restringidos. Robo de dinero Compras por Internet Bromas pesadas

56 Tipos de Ataques Se falsea la dirección de DNS del servidor
Falsificación hosts Troyanos, Físicamente, Shellcodes exploits DHCP DNS Spoofing Man in The Middle Se engaña la navegación. Frames Ocultos URLs falseadas. Se implanta en la nueva ubicación un servidor replica. Se implantan hasta fakes de certificados digitales

57 Phising Ejemplos

58 Phising Ejemplos

59 Exploits infohacking.com

60 Spoofing ARP Suplantar identidades físicas. Saltar protecciones MAC.
Suplantar entidades en clientes DHCP. Suplantar routers de comunicación. Solo tiene sentido en comunicaciones locales.

61 Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Dirección MAC <-> Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce.

62 Sniffing en Redes Conmutadas
PC 2 PC HACKER PC 3 PC 1 Sniffer PC 4 MAC 2 MAC H MAC 3 Datos PC 4 MAC 1 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

63 Envenenamiento de Conexiones
“Man in the Middle” La técnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.

64 Envenenamiento de Conexiones “Man in the Middle”
CONEXIÓN PC2 REENVÍO A HOST IP 2 – MAC H IP 1 – MAC H CACHE ARP IP 2 – MAC H CACHE ARP IP 1 – MAC H PC 2 IP 2 MAC 2 PC 1 IP 1 MAC 1

65 Man in the Middle Sirve como plataforma para otros ataques.
DNS Spoofing. Phising. Hijacking. Sniffing Se utiliza para el robo de contraseñas.

66 Contramedidas Contra Phising Contra Spoofing ARP
Uso de CA de confianza Formación a usuarios Gestión de actualizaciones de seguridad Códigos de aplicaciones seguras Control físico de la red Comprobación DHCP Contra Spoofing ARP Autenticado de conexiones IPSec Detección de Sniffers IDS

67 Vulnerabilidades: SQL Injection

68 Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios Text Password Textarea List multilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

69 Riesgos Permiten al atacante: Saltar restricciones de acceso.
Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor.

70 Tipos de Ataques Ejemplo 1:
Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=‘$usuario’ And clave=‘$clave’; Usuario Clave ****************

71 Tipos de Ataques Ejemplo 1 (cont) Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’ And clave=‘’ or ‘1’=‘1’; Usuario Administrador Clave ‘ or ‘1’=‘1

72 Tipos de Ataques Ejemplo 2:
Acceso a información con procedimientos de listado. Ó

73 Tipos de Ataques Ejemplo 2 (cont):
union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown -- Ó union select .....; otra instrucción; --

74 Contramedidas No confianza en medias de protección en cliente.
Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

75 Vulnerabilidades: WebTrojan

76 Explotación de Ataque Servidores Web no fortificados
Ejecución de programas en almacenes de ficheros. Subida de ficheros a servidores. Imágenes para publicaciones. Archivos de informes. Currículos, cuentos, etc... Almacenes de ficheros accesibles en remoto Usuario en contexto servidor Web no controlado

77 Riesgos Implantación de un troyano que puede: Gestionar ficheros
Ejecutar programas Destrozar el sistema Defacement Robo de información ....

78 Tipos de Ataques Programación de un troyano en PHP, ASP o JSP
Utilización de objetos FileObject Subida mediante ASP Upload Busqueda del lugar de almacenamiento Invocación por URL pública del servidor Web

79 Contramedidas Fortificación de servidores Web Menor Privilegio
Ejecución de programas en sitios restringidos Listado de directorios ocultos Usuario de servidor en contexto controlado Subida de archivos controlada Ubicación no accesible desde URL pública Tipos de ficheros controlados Tamaño, tipo, extensión, etc.. Filtrado vírico -> Rootkits

80 Vulnerabilidades: Capa 8

81 Explotación de Ataque Falta de conocimiento SD3
Diseño Configuraciónes Implantación Administradores/Desarrolladores no formados en Seguridad Hacking Ético Falta de conocimiento del riesgo

82 Riesgos Insospechados: Bases de datos públicas No protección de datos
No protección de sistemas .....

83 Tipos de Ataques Hacking Google Administradores predecibles
Ficheros log públicos WS_ftp.log Estadísticas públicas Webalyzer

84 Próximas Acciones 17/09/2005. HOL – Windows Server 2003. IPSec
18/09/2005. Evento – Windows Update Services 20/10/2005. Contramedidas Hacker. 21/10/2005: Gira Seguridad Technet.

85 Boletín quincenal TechNews

86 Contactos Informática 64 Joshua Sáenz G. http://www.informatica64.com
Joshua Sáenz G.