Seguridad en redes
Husmeando en los correos de otros Estudiante cambiando calificaciones Fraude bancario Robar números de tarjetas de crédito Espionaje comercial Protesta de hackers Cracker “divirtiéndose” La necesidad de Seguridad en la Red
Título ConfidencialidadIntegridad Disponibilidad ConfidencialidadConfidencialidad –Asegurar que la información no sea divulgada intencional o accidentalmente. IntegridadIntegridad –Asegurarse que la información no sea modificada por personal no autorizado, que no se hagan cambios no autorizados por personal autorizado, y que la información permanezca íntegra. DisponibilidadDisponibilidad –Proveer confiabilidad y acceso oportuno a la informacion y a los recursos. Metas de la seguridad
ConfidencialidadIntegridad Disponibilidad SEGURO
Balance no es fácil Conectividad Rendimiento Facilidad de uso Manejable Disponibilidad Autenticación Autorización Contabilidad Aseguramiento Confidencialidad Integridad
Elementos clave Identidad Seguridad perimetral Privacidad de información Monitoreo de seguridad Administración de políticas Identidad Seguridad perimetral Privacidad de información Monitoreo de seguridad Administración de políticas
Redes vulnerables ¿Por qué? Anonimato Múltiples puntos de ataque –Blancos y orígenes Recursos compartidos (Sharing) –Muchos usuarios autorizados –Muchos sistemas Sistemas cada vez más complejos –Diseñados originalmente sin seguridad en mente (Desktop) Perímetros confusos –No fronteras Rutas múltiples y desconocidas –Internet Protocolos
Debilidades en la Red Debilidades tecnológicas –Protocolos Especialmente TCP/IP 1981? –Sistemas operativos –Dispositivos
Debilidades en la Red Debilidades de configuración –Cuenta de usuarios no seguras –Contraseñas débiles –Servicios de Internet mal configurados –Configuracion por omisión (default) –Equipos de red mal configurados
Debilidades en la Red Debilidades en los procesos y políticas –Falta de políticas bien descritas –Falta de continuidad –Controles de acceso lógicos no aplicados –Cambios e instalación de equipos y/o software al vapor –Ausencia de un plan de restauración ante un desastre
Ataques: Pasos previos
Reconnaissance Término militar y médico Exploración con el propósito de obtener información Paso previo a un ataque Obtener la mayor cantidad de información de la posible víctima Muchas maneras de realizar esta exploración, y no todas son técnicas
Reconnaissance: Barrido de puertos Port scan Verificar que puertos están “abiertos” en una máquina Servicios con conexión a red Además de otra información valiosa –Sistema operativo –Versiones de las aplicaciones Nmap netcat
Reconnaissance: Ingeniería social Barrido de puertos da una visión externa de una red o máquina Ingeniería social permite conocer detalles internos –Contraseñas –Direcciones IP –etc. Habilidades histriónicas del atacante –Simpatía, lástima, infundir miedo, etc.
Reconnaissance: Inteligencia Recolectar más información De clavado en la basura –“Dumpster diving” –Diagramas de red –Código –Configuraciones de servidores, dispositivos de seguridad “Eavesdropping” –De máquinas o de personas
Reconnaissance: Identificación Fingerprinting Sistemas Operativos y aplicaciones –Fabricante y versión SO –Cada TCP/IP es independiente y diferente –Estándares especifican el QUE no el COMO Herramientas –Nmap, nessus, netcat, telnet
Reconnaissance: Otros Grupos de discusión –Normalmente son lugares de consulta y solución de problemas técnicos –“Tengo un servidor patito 2.6. ¿Cómo configuro el servicio de web?” Documentación –Fabricantes la hacen disponible para que los programadores y administradores la usen
Eavesdropping es el término en inglés que se refiere a escuchar a través de las puertas, en otras palabras, espiar.Eavesdropping es el término en inglés que se refiere a escuchar a través de las puertas, en otras palabras, espiar. Formas de contrarestar ataques: Implementar y reforzar una política directiva que prohiba el uso de protocolos con susceptibilidad al eavesdropping Cifrado de datos que satisfaga la necesidad de seguridad en la información de la organización Usar redes conmutadas (switched networks) Eavesdropping y Wiretapping Tipos de eavesdropping : Recolección de información Robo de información Activo y pasivo Herramientas usadas: Analizadores de red o de protocolos Software para capturar paquetes de red Sniffers
Usurpación de identidad Más peligroso que eavesdropping Opciones –Adivinar –Capturar los detalles de la identidad –Inhabilitar o evitar los mecanismos de autenticación –Autenticación no existente Cuentas guest o anonymous –Identidades y contraseñas bien conocidas Administrator, root, etc.
Spoofing Es crear una identidad falsa Tipos –Masquerade Pretender ser alguien o algo que no se es Usar una máscara URLs similares, Phishing –Secuestro de sesión Session highjacking Sesión iniciada con un sitio y otro entra cuando se presiona “check out” –Hombre en medio Man In the Middle Participa desde el inicio
Spoofing Es el proceso de utilizar información de identificación (dirección IP, domain Name, puertos TCP o UDP) válida (de terceras personas) para acceder a recursos de un sistema. X Y Z Sr. Z ¿está aquí? Sí, aquí estoy!
Breve repaso de TCP/IP (Internet)
¿Qué y cómo son los siguientes ataques? Denial Of Service (DOS) Ping of DeathSYN Flood
Comunicación Internet
Internet Comunicación
TCP/IP Transmission Control Protocol/ Internet Protocol Conjunto de protocolos –Stack, Suite Sistema neurológico de Internet Diseñado hace más de 30 años Conocerlo es importante para entender las vulneravilidades y ataques Basado en capas.....heredero de OSI
Modelos OSI y TCP/IP Acceso al medio IP
Direcciones en TCP/IP Acceso al medio IP Procesos SCTP TCPUDP Dirección Física Dirección Física Dirección Lógica Dirección Lógica Número de Puerto Número de Puerto
MAC (capa 2) –Identifica a una máquina en una red local –Número de 48 bits C4:FA:55:6B:C2:76 IP (capa 3) –Identifica a una máquina en Internet –Número de 32 bits Puerto (capa 4) –Identifica a una aplicación (proceso) corriendo en una máquina –Número de 16 bits 80 Direcciones TCP/IP
Comunicación red local (capa 2) Forouzan TCP/IP
Comunicación en Internet (capa 3)
Forouzan TCP/IP Comunicación proceso a proceso (capa 4)
ARP (Address Resolution Protocol) Forouzan TCP/IP Quien tiene la dirección IP (lógica) YO! y mi dirección física es A$:6E:F4:59:83:AB YO! y mi dirección física es A$:6E:F4:59:83:AB ARP request es un BROADCAST ARP reply es un UNICAST
Hola que tal! En la red..... MAC Desti no MAC Orige n CRC Puerto Destin o Puerto Origen Dato s IP Destin o IP Orige n
Mensaje Segmento Paquete Marco (Frame) Bit PDU (Protocol Data Unit)
Alcance de IP y TCP, UDP Capa de Red entrega máquina a máquina Capa de Transporte entrega proceso a proceso Internet Proceso
Aplicación Puerto Servidor WEB 80 Servidor FTP 21 : : Programa 5999 : : Direcciones IPs y Puertos Internet Dir IP, puerto, datos Paquete
Aplicaciones y Números de puerto Sistema Operativo y TCP/IP Prog1 Puerto1 Prog2 Puerto2 ProgN PuertoN
Aplicaciones y Números de puerto Sistema Operativo y TCP/IP Prog1 Puerto1 Prog2 Puerto2 ProgN PuertoN Dir IP#PuertoDatos #Puerto Datos Paquete
IP (Internet Protocol) Protocolo orientado a no-conexión que envía paquetes de datos independientes (datagramas), sin garantía de la llegada o del orden de los paquetes Protocol de mejor esfuerzo (“best effort”) Cada paquete es encaminado (“ruteado”) en forma independiente de los demás Cada paquete ES independiente de los demás Cada paquete se rutea en forma independiente
Encabezado Datagrama IP Forouzan TCP/IP
Fragmentación Datagrama IP (máxima longitud = bytes) Datos capa 2 (Ethernet, wifi, Token Ring, etc) Encabezado Cola (CRC)
MTU (Maximum Transfer Unit) Token Ring (16 Mbps) → bytes Token Ring (4 Mbps)) → 4464 bytes PPP → 296 bytes Ethernet → 1500 bytes → 2132 bytes
Fragmentación
Comunicación proceso a proceso Internet
Encabezado segmento TCP Forouzan TCP/IP
Funcionamiento de TCP Establecimiento de Conexión Transferencia de datos Liberación de Conexión
Establecimiento de Conexión 1
Transferencia de datos
Terminación de conexión 1
Terminación de conexión 2
UDP (User Datagram Protocol) Protocolo orientado a no-conexión que envía segmentos de datos independientes (datagramas), sin garantía de la llegada o del orden de los segmentos No incurre en el gasto extra de mantener una conexión y hacer la verificación de cada paquete por medio de ACKs y timeouts Diseñado para aplicaciones donde la pérdida parcial de datos no es importante
Encabezado Segmento UDP Forouzan TCP/IP