Consideraciones Forenses y de Seguridad en Enrutadores Conceptos, herramientas y prácticas Jeimy J. Cano, Ph.D Universidad de los Andes

III JNSI ACIS 2003 JCM-03 All rights reserved2 ADVERTENCIA ! Las maneras de vulnerar y atentar contra las seguridad de enrutadores referenciadas en esta presentación son con propósitos ilustrativos y educativos. Por tanto, cualquier uso inadecuado de las mismas no será responsabilidad del Autor. Las técnicas sugeridas en la presentación aplican a enrutadores CISCO. Es probable que apliquen a otros proveedores. La presentación busca concientizar a los encargados de la seguridad sobre prácticas de aseguramiento y forenses sobre enrutadores y, de ninguna manera atentar contra el buen nombre de proveedores o compañías.

III JNSI ACIS 2003 JCM-03 All rights reserved3 Agenda Introducción Evolución de Vulnerabilidades en CISCO Elementos básicos de los enrutadores Ataques Generales a Routers Ataques Especializados a Routers Evaluación de Seguridad en Routers Enrutadores y Arquitecturas de Seguridad Logging en Routers Prácticas de Seguridad en Routers Elementos básicos en Computación Forense Computación Forense en Routers Extracción de Información en Routers Prácticas Forenses en Routers Conclusiones Referencias

III JNSI ACIS 2003 JCM-03 All rights reserved4 Introducción Incremento importante de vulnerabilidades detectadas en enrutadores. Los enrutadores con frecuencia son tratados como cajas negras configuradas. – No las toque!- Generalmente configurados por default – No existen guìas corporartivas de aseguramiento. Generalmente no son sometidos a pruebas de penetración y actualización permanente de parches Frecuentemente no se configura en ellos una estrategia de logging coherente con la estrategia de detección de intrusos. Ante un incidente de seguridad, generalmente pasan desapercibidos. Computación Forense en routers? Cómo?

III JNSI ACIS 2003 JCM-03 All rights reserved5 Evolución de Vulnerabilidades en CISCO Tomado de: - Vulnerabilidadeshttp://

III JNSI ACIS 2003 JCM-03 All rights reserved6 Elementos básicos de Enrutadores

III JNSI ACIS 2003 JCM-03 All rights reserved7 Elementos básicos de Enrutadores Son esencialmente otros computadores. Particularmente son otros SERVIDORES. Ofrecen el servicio de enrutamiento. Poseen Sistema Operacional Ciscos Internetwork Operating System – IOS Utiliza la NVRAM – Non Volatil RAM, donde se encuentra almacenado el archivo de configuración Se almacena en la Flash Memory Interpreta las ACL – Access Control List y otros comandos Tiene un conjunto de comandos para interactuar con el usuario. Nivel EXEC de Usuario Show, connect, ping, calendar, etc Nivel EXEC Privilegiado Configure, write, erase, debug, setup, etc.

III JNSI ACIS 2003 JCM-03 All rights reserved8 Elementos básicos de Enrutadores Puerto de Consola Interfase De REd Puerto Auxiliar Módem Como eventualidad para casos de emergencia Generalmente utilizados para colocar módems. Permite acceso como consola

III JNSI ACIS 2003 JCM-03 All rights reserved9 Ataques a Enrutadores

III JNSI ACIS 2003 JCM-03 All rights reserved10 Ataques generales a Routers SNMP Attacks Mensajes malformados recibidos a los enrutadores resulta en fallas del sistema. NTP Attacks Envío paquete malformados NTP, generando buffer overflow en el demonio de NTP Session Replay Attacks Secuencia de paquetes o comandos de aplicación que pueden ser manipulados y reenviados para causar una acción no autorizada. Session Hijacking Manipulación de Paquetes IP para falsificar direcciones IP, predicción de número de secuencia.

III JNSI ACIS 2003 JCM-03 All rights reserved11 Ataques Especializados a Routers Manejo de la Memoria en IOS Memory Process – Heap Memory IO Memory – Buffer de Comandos Magic PID Alloc Check Alloc Name Alloc PC NEXT BLOCK PREV BLOCK BLOCK SIZE REFERENCE # Last Deallc DATA RED ZONE Valor estático 0xAB1234CD Identificador del Proceso en IOS Zona utilizada para efectuar chequeos integridad de bloques Apuntador al string del nombre del proceso. Código de la dirección que selecciona este bloque. Apuntador al siguiente bloque Apuntador al bloque anterior Tamaño del bloque – Marca como en USO Cantidad de bloques referenciada Última dirección que fue seleccionada Valor estático 0xFD0110DF Zona de Datos

III JNSI ACIS 2003 JCM-03 All rights reserved12 Ataques especializados a Routers Algoritmo de chequeo: (Tomado de Phrack No.60) 1) Continúa el bloque con el valor de MAGIC (0xAB1234CD)? 2) Si el bloque esta en uso, verifique la zona roja está allí y presente el número 0xFD0110DF. 3) El apuntador al anterior bloque es no nulo? 4) Si existe apuntador al siguiente bloque, verifique ) Si apunta correctamente después del final de este bloque? 4.2) Si apuntador de bloque previo del bloque apuntado por este apuntador (apuntador al siguiente), esta direccionado a este bloque? 5) Si el apuntador al siguiente bloque es nulo, es este bloque el último en el segmento de memoria? 6) El tamaño del bloque tiene sentido? Es correcto? Si alguno de estos paso falla: la verificación no resulta exitosa y se efectúa un reinicio del sistema IOS. *** EXCEPTION *** illegal instruction interrupt program counter = 0x20f2a24 status register = 0x2700 vbr at time of exception = 0x

III JNSI ACIS 2003 JCM-03 All rights reserved13 Ataques especializados a Routers Algunos comandos involucrados este tipo de ataques: victim#show memory processor allocating-process Listado de apuntadores y sus bloques victim#show memory 0x258F998 Despliega el contenido de la memoria para esta posición particular Que podemos aprender? Debemos estudiar en detalle la manera como se asigna, verifica y desasigna la memoria en IOS IOS es un sistema operacional como cualquier otro, por tanto tiene vulnerabilidades inherentes a su diseño. Estar atento a las listas de seguridad y los posibles anuncios sobre fallas o vulnerabilidades en cualquiera de los elementos de la red. Es probable este tipo de ataques en Switches Los routers requieren aseguramiento como cualquier otro dispositivo de la red!!!

III JNSI ACIS 2003 JCM-03 All rights reserved14 Seguridad en Enrutadores

III JNSI ACIS 2003 JCM-03 All rights reserved15 Evaluación Seguridad en Routers Router Audit Tool - RAT Center for Internet Security (CIS) Esta herramienta considera: Router Security Configuration Guide publicada por la National Security Agency (NSA) Desarrolla una evaluación NO INVASIVA de las principales vulnerabilidades presentes en los enrutadores RAT esta diseñada en Perl y consta de 4 programas: Snarf – Utilizada para descargar los archivos de configuración del router Ncat – Utilizado para leer los archivos de configuración y reglas base de la evaluación y generar el archivo de salida Ncat_report – Crea el HTML de los archivos planos de salida Ncat_config – Utilizado para efectuar la localización de los archivos de reglas básicas Licencia de USO - GNU General Public license Disponible en UNIX, Linux y Windows.

III JNSI ACIS 2003 JCM-03 All rights reserved16 Evaluación Seguridad en Routers Router Audit Tool - RAT

III JNSI ACIS 2003 JCM-03 All rights reserved17 Enrutadores y arquitecturas de seguridad Deberían ser la primera línea de defensa de la organización. Deberían contar con una configuración de control de acceso que defienda en primera línea al FW. Mantener un registro sincronizado de los eventos más representativos: Alertas Condiciones críticas Mensajes de error Emergencias Intento de ingreso de paquete de lugares no autorizados. Desarrollar una relación de monitoreo y control de tráfico en conjunto con el IDS. Aseguramiento permanente, como cualquier otro sistema operacional.

III JNSI ACIS 2003 JCM-03 All rights reserved18 Logging en Routers Los enrutadores CISCO tienen 6 formas de generar logging. Logging en consola Conectados directamente al puerto de consola Logging en Buffer de Memoria Manteniendo los mensajes de log en la RAM del enrutador. Generalmente es circular. Logging de Terminal Utilizando los comandos de terminal, pueden enviar los mensajes de log a las terminales VTY Syslog Los enrutadores pueden ser configurados para enviar sus mensajes de log a servidores syslog externos. SNMP Si se encuentra habilitado, puede enviar a servidores SNMP externos para registrar condiciones específicas. AAA Accounting Si se esta utilizando la arquitectura Authentication, Autorization, Accounting de CISCO, puede enviar el log al Network Access Server.

III JNSI ACIS 2003 JCM-03 All rights reserved19 Logging en Routers Syslog Para configurar el logging remoto via esta estrategia En el enrutador: router1#config terminal – Ingreso a sección de configuración Router1(Config) # Logging facility local6 – Identificando por donde se envía la información Router1(Config) # logging trap errors Router1(Config) # Logging Router1(Config) # ^Z Nota Si se quiere conocer el tráfico asociado con las reglas o listas de control acceso que tiene configuradas (deny), debe agregar la palabra log al final de la misma Access-list 101 deny ip any log

III JNSI ACIS 2003 JCM-03 All rights reserved20 Logging en Routers Syslog Para configurar el logging remoto via esta estrategia En el servidor destino: Existe un syslog server en Unix y Linux En Windows existen implementaciones: Kiwi Syslog Winsyslog Nota: Con estas implementaciones pueden enviar logs a otras máquinas con syslog instalados. Incluso en Unix Identifique el archivo de syslog: /etc/syslog.conf Su formato generalmente es: Facilidad.severidad logfile Un ejemplo para la configuración previa: Local6.errors /var/log/router1 Mantenga monitoreo del puerto 514 (udp), preferiblemente utilice SSH para mantener una conexión confiable entre el enrutador y el servidor de logging.

III JNSI ACIS 2003 JCM-03 All rights reserved21 Prácticas de Seguridad en Routers Acceso a la consola con login y contraseña. Asegurar el acceso al puerto AUX y las VTY con login y contraseña No configure el enrutador para ser servidor de TFTP No conecte un módem al puerto de consola Deshabilite telnet reverso a todos los puertos físicos. Deshabilite el telnet. Deshabilite acceso via HTTP Deshabilite protocolos y servicios innecesarios Deshabilithe SNMP, si no lo necesita Genere una estrategia de logging coherente y confiable (conexión cifrada) Actualice la versión y parches del IOS Incluya los routers en pruebas de penetración Genere y actualice guías de hardening. Mantenga sincronizado la fecha y hora del equipo. No descuide el aseguramiento fìsico de los equipos y el control de acceso a los mismos. Efectúe administración remota con mecanismos de cifrado

III JNSI ACIS 2003 JCM-03 All rights reserved22 Computación Forense en Enrutadores

III JNSI ACIS 2003 JCM-03 All rights reserved23 Elementos básicos en Computación Forense Aseguramiento de la escena del incidente Identificación y registro de información volátil Apagado adecuado Efectuar copia idéntica bit a bit Desarrollar el análisis sobre una de las copias idénticas Análsis físico Partición Sectores dañados Datos fuera de la partición Análisis lógico Archivos de metadatos Información de contexto y encabezados Directorios de archivos Conjunto Archivos activos Sistema de archivos residual (en su estructura) Archivos eliminados Generación del informe

III JNSI ACIS 2003 JCM-03 All rights reserved24 Computación Forense en Routers Aseguramiento de la escena del incidente Sobre manera el control de acceso físico al dispositivo. Identificación y registro de información volátil Es el ejercicio más crítico en la computación forense de enrutadores Apagado adecuado No es viable hacerlo, pues se perderían todos los datos disponibles en el enrutador. Efectuar copia idéntica bit a bit Extraer toda la información relacionada con la configuración, IOS, ACL, entre otras. Desarrollar el análisis sobre una de las copias idénticas Sólo después de extraer la información con el sistema activo y en línea. Generación del informe

III JNSI ACIS 2003 JCM-03 All rights reserved25 Extracción de Información en Routers Siempre inicie guardando su sesión de conexión con el enrutador ante de conectarse Frecuentemente ejecute el comando show clock detail

III JNSI ACIS 2003 JCM-03 All rights reserved26 Extracción de Información en Routers - Evidencia volátil- terminal length 0 dir /all show clock detail show ntp show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interfaces show interfaces show access-lists show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp users show snmp groups show clock detail Exit

III JNSI ACIS 2003 JCM-03 All rights reserved27 Extracción de Información Routers - Datos externos - Efectuar scanning de puertos al router Ejecutar alguna herramienta de verificación de vulnerabilidades sobre enrutadores. Verificar y registrar con una autoridad de tiempo confiable. Imprimir el resultado con el registro de tiempo incluido Vincule a un testigo para verificar la ejecución de este ejercicio. Firma y fecha para la impresión de resultados. Firman ambos involucrados Guarde las copias en lugar seguro y registro clasificado de la diligencia. NOTA: Este procedimiento debe ser idéntico para la recolección de evidencia volátil presentado en el aparte anterior.

III JNSI ACIS 2003 JCM-03 All rights reserved28 Extracción de Información Routers - Herramienta automatizada - Cisco Router Evidence Extractor Disk – CREED CREED está basado en la implementación de linux TomsRtBt, disponible en Creada por requerimiento de la Fuerza Aérea, para recolectar información forense de enrutadores CISCO. La idea es crear un diskette de boot, el cual se coloca en un laptop. Luego se conecta el portátil desde su puerto serial al puerto de consola del enrutador. Se reinicia el portátil con el diskette de boot previamente creado. Se ingresa al enrutador – Se digita adquire Se digita el comando enable para ingresar en modo privilegiado. Inicio de recolección. El resultado de la ejecución de los comandos se registra en un archivo que queda como resultado en el diskette.

III JNSI ACIS 2003 JCM-03 All rights reserved29 Prácticas Forenses en Routers Los enrutadores deben mantener una estrategia de logging externo que facilite la correlación de información de un incidente. Debe existir un registro y control de la actualización del IOS. La sincronización de tiempo vía NTP es crítica para efectos forenses. Concientizar a los administradores de redes, de la evidencia que generan los enrutadores. Es necesario que las guías de atención de incidentes contemplen información generada por los enrutadores.

III JNSI ACIS 2003 JCM-03 All rights reserved30 Conclusiones Los routers NO SON CAJAS NEGRAS. Requieren aseguramiento equivalente al de cualquier servidor Es necesario profundizar en el estudio de los sistemas operacionales. Particularmente en IOS: funciones internas, control y administración de memoria, entre otros. Los Switch también pueden ser vulnerables a ataques semejantes a los vistos en la presentación. Se requiere establecer una estrategia de Evaluación de Perímetro en Profundidad: Ver RE.D.ARVer RE.D.AR Es necesario asegurar el cumplimiento de los servicios de seguridad en los enrutadores – A2CAN Autenticación Autorización Control de acceso Auditabilidad No repudio

III JNSI ACIS 2003 JCM-03 All rights reserved31 Referencias Shaughnessy, T y Velte, T. (2000) Manual de Cisco. McGraw Hill. Prosise, C y Mandia, K. (2001) Incident Response: Investigating Computer Crime. McGraw Hill. Akin, T. (2002) Hardening Cisco Routers. OReally. Kaeo, M. (1999) Designing Network Security. Cisco Press. Northcutt, S et al (2003) Insider Network Perimeter Security. News Riders Sedayao, J. (2001) Cisco IOS Access list. OReally. Garfinkel, S y Spafford, G. (1996) Practical Unix and Internet Security. Second Edition. OReally. Proctor, P y Byrnes, F. (2002) The secured enterprise. Prentice Hall. SANS (2002) Routers Security: Step by Step. Stuckless, C. (2000) SANS GIAC Firewall and Perimeter protection Practical Assignment. Wright, J. (2002) SANS GIAC Incident Handling Red Team Assessment of Parliament Hill Firewall. Cisco. (2000) Improving Security on Cisco Routers. Gaius. (2000) Things to do in Cisco Land when youre dead. Phrack Magazine. No Graesser, D. (2001) Cisco Router Hardening Step by Step. Sans Institute. Information Security Reading Room.

III JNSI ACIS 2003 JCM-03 All rights reserved32 Referencias Langley, R. (2001) Securing your internet access router. Network Computing (1999) The cost of Security on Cisco Routers. Winters, S. (2000) Top Ten Blocking Recommendations Using Cisco ACLs securing perimeter with Cisco IOS 12 Routers. Antoine, V et al. (2001) Router Security Recommendation Guide. Version 1.0. National Security Agency. Antoine, V et al. (2001) NSA Router Security Recommendation Guide: Executive Summary Card. Held, G y Hundley, K. (1999) Cisco Security Architectures. McGraw Hill CISecurity. Router Audit Tool. The Center for Internet Security Stewart, B. (2002) Router Audit Tool: Securing Cisco Routers Made Easy. Thomas, R. (2002) Secure IOS Template Version Unknown. Improving Security on Cisco Routers, Cisco Systems, Date Unknown. Unknown. Increasing Security on IP Networks, Cisco Systems, Date Unknown Cisco Router IOS Memory Maps. Ubicación en el web:

III JNSI ACIS 2003 JCM-03 All rights reserved33 Preguntas, dudas, sugerencias,.... Preocupaciones, Sustos, paranoias!!...

Consideraciones Forenses y de Seguridad en Enrutadores Conceptos, herramientas y prácticas Jeimy J. Cano, Ph.D Universidad de los Andes

III JNSI ACIS 2003 JCM-03 All rights reserved35 RE.D.AR REGISTRO DETECCIÓN INTRUSOS AUDITORÍA SINCRONIZACIÓN CORRELACIÓN ASEGURAMIENTO AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA