Seguridad en Servers 1 SEGURIDAD PERIMETRAL EN RED Y SERVERS

Seguridad en Servers 2 Origen de los Riesgos en la Seguridad: – Interno (el 70% de los incidentes de seguridad reportados): – Externo : Seguridad perimetral para prevenir accesos no autorizados a la red privada desde el mundo externo (Internet o dial-in). Vulnerabilidades en la Red: – Protocolos de red. – Software. – Configuración. Riesgos

Seguridad en Servers 3 No existe un sistema de protección efectivo sin una política de seguridad sensata. La política es la base de la seguridad. – especifica que cosas son importantes de proteger dentro de una organización y que acciones amenazan estas cosas. La política de seguridad de red define: – ¿Quién puede hacer qué, cuándo, desde dónde y con qué tipo de autentificación? – ¿Qué actividades son consideradas amenazas a la seguridad? – ¿Quién tiene autoridad/responsabilidad de implementar esta política? En la clase de hoy veremos que podemos hacer en cuanto a protección de nuestra organización frente al mundo exterior. Especificación de la Política de Seguridad

Seguridad en Servers 4 IP Address spoofing UDP Spoofing TCP Sequence Number Attacks Internet Routing Attacks ICMP Redirect Ping of Death (PoD) ARP attacks TCP SYN Flood Attack IP Fragmentation Attack UDP Port Denial-of-Service y bombas UDP Random Port Scanning Packet sniffers (Eavesdropping) Man-in-the-Middle (connection hijacking) TCP Connection Spoofing Ataques vía Protocolos de Comunicación Nombres en inglés dado su uso popular

Seguridad en Servers 5 Passwords débiles Password Sniffers Troyanos Apropiación de conexiones (connection hijacking) Ingeniería social Ataques a DNS, SMTP, NFS, NTP, Remote-login, X-Window Fuga de información (finger, whois, echo, ping, traceroute) URL y Web Spoofing Código Java y ActiveX applets maliciosos, virus Buffer overflow Ataques CGI Ataques vía Autentificación y Aplicaciones

Seguridad en Servers 6 ftp://info.cert.org/pub/tech_tips/denial-of-service SYN Flooding Ping of Death (Win95 target, pruebe “ping -l target”) Smurfing – spoofing de paquetes ICMP echo (ping) con la dirección de la víctima como la dirección fuente y la dirección de broadcast como destino. Ataques mediante paquetes maliciosos (aplique los patches provistos por el proveedor) – Land Drop (Win95) – Latierra (Win NT y Win95) – Tear Drop (Linux, Win NT y Win95) Denegación de Servicio (DoS) vía Red

Seguridad en Servers 7 Falta de autentificación en protocolos. Seguridad limitada en routers. Eavesdropping. Confianza en control de acceso basado en passwords. Suposición de números bajos de ports Sistemas mal configurados – confianza explícita en el mundo (Everybody/FullControl ), cuentas no cerradas, NFS y FTP no restringidos, etc. Errores de software y backdoors – sendmail, finger, etc. Debilidades de Seguridad en Internet

Seguridad en Servers 8 La gente externa a nuestra máquina/red quiere acceder a recursos internos sin nuestro permiso. –Contacta a un compañero (doble agente) en nuestro sistema o a un programa legítimo. Los programas dentro de nuestra red/computadora quieren acceder a Internet sin nuestro permiso. –Un caballo de troya en nuestro sistema contacta a alguien (atacante) del exterior. Los Problemas

Seguridad en Servers 9 Debemos decidir como controlar el tráfico a través del firewall Lo que no está explícitamente prohibido está permitido – Amigable al usuario. – Aparecen constantemente nuevos servicios. – Mayor potencial de ser víctima de nuevos agujeros de seguridad. – Sin sentido hoy en día. Lo que no está explícitamente permitido está prohibido – Más seguro. – Menos amigable al usuario. Desarrollo de una Política

Seguridad en Servers 10 Desconectarse de Internet – los usuarios se hacen “dependientes” de sus servicios rapidamente. – los negocios/educación requieren conectividad Internet. – NO PRÁCTICO. Mejorar la seguridad en los Hosts – Pros No trae inconvenientes a los usuarios legítimos. Provee protección intra-organización. El software puede ayudar a automatizar la seguridad. – Contras Muchas máquinas – es difícil implementar seguridad en todas! No hay herramientas de auditoría centralizada - ¿quién está entrando? Conectividad en Internet

Seguridad en Servers 11 Internet Fortificación del Perímetro de la Red

Seguridad en Servers 12 Pros: – El acceso a la red interna se dirige a un único a hacia un pequeño conjunto de sistemas. – Más fácil para el administrador. – Más fácil de auditar el tráfico entrante y saliente. Contras: – Es difícil determinar el perímetro de la red. – Los firewalls pueden ser difíciles de configurar y mantener. – Son muchas las técnicas a considerar. FIREWALL FIREWALL – Un sistema de software o hardware que regula las comunicaciones entre redes: Entre red interna y externa. Entre subredes internas. Fortificación del Perímetro de la Red (2)

Seguridad en Servers  Proveer conectividad segura entre redes (posiblemente varios niveles de confianza).  Implementar y hacer cumplir una política de seguridad entre redes. 13 Redes Confiables Redes y Servers no Confiables Firewall Router Internet Intranet DMZ Servers y Redes accesibles desde el exterior (públicos) Usuarios Confiables Usuarios no Confiables Funciones de un Firewall

Seguridad en Servers  Definición del Webster’s Dictionary: una pared construida para prevenir que el fuego en un lado de un edificio pase al otro.  Un firewall de red tiene un propósito similar: evitar que los peligros de las redes exteriores (Internet) pasen a nuestra red.  Punto de acceso controlado. 14 Definición de Firewall

Seguridad en Servers  Restringir el tráfico entrante y saliente a partir de las direcciones IP, ports o usuarios.  Bloquear paquetes inválidos.  Proveer de un único “punto de choque”.  Proveer funciones de “logueo” y auditoría.  Los puntos anteriores también se aplican al interior al comunicarse con el exterior. 15 Los Firewalls pueden:

Seguridad en Servers  Dar información acerca del tráfico gracias a la posibilidad de loguear.  Network Address Translation (NAT).  Encripción. 16 Conveniente

Seguridad en Servers  Tráfico que no pasa por ellos  Ruteado por otro lado (ej: modems).  Tráfico interno.  Cuando están mal configurados pueden ser inútiles.  Proteger (confidencialidad) los datos en Internet.  Prevenir ataques activos (session hijacking, routing, etc)  Manejar dispositivos de IP móvil.  Queremos una solución end-to-end.  Criptografía. 17 Los Firewalls NO pueden proteger de: (1)

Seguridad en Servers 18 Información exportada en CD ROM o diskette. Estupidez de los empleados que divulgan información confidencial por teléfono. Virus, etc. que llegan via .  Generalizando: cierto software malicioso es subido o copiado usando un canal legítimo y luego es ejecutado. Los Firewalls NO pueden proteger de: (2)

Seguridad en Servers 19  a la red electricidad  Funcionalidad: Muy Mala El mejor Firewall

Seguridad en Servers 20 DMZ – zona desmilitarizada –Area de red entre dos packet filters. El filtro externo solo permite tráfico desde el exterior. El filtro interno solo permite tráfico desde el interior. Separa la red externa de la interna. –Contiene nodos que proveen servicios externos (ej: webserver, DNS) y gateways (aplicaciones) para clientes internos. –Cuando los nodos están comprometidos El tráfico interno no puede ser objeto de sniffing. Protección del filtro interno. De-Militarized Zone (DMZ)

Seguridad en Servers 21 Internet DMZ Web Server Pool Red Interna ALERTA!! ALERT!A! Requerimiento de Seguridad Control de acceso a la red y a sus recursos. Proteger la red de posibles ataques. Control de Acceso

Seguridad en Servers 22 fire wall DB server web server wkstn mail server wkstn Local Area NetworkPublic Network/ Internet Un firewall asegura nuestra LAN: - restringiendo las conexiones externas (entrantes y salientes) a las máquinas y servicios especificados. - analizando, logueando y filtrando todo el tráfico - detectando y reportando intentos de “entrar”. - ocultando la estructura interna (direcciones) de la LAN de la Red Pública.

Seguridad en Servers 23 Packet Filters –El control de acceso sobre la red se efectúa analizando los paquetes entrantes y salientes. Se los deja pasar o se descartan según la dirección IP de la máquina fuente y de la máquina destino. –Puede ser un router, bridge o un host particular. Application Proxy –El proxy es un programa que representa a todas las computadoras de la red interna, ocultando la LAN de la red pública. El proxy toma todas las decisiones de forwarding, en los dos sentidos. –El proxy hará el forwarding para los clientes autorizados hacia servers del exterior y traerá las respuestas a dichos clientes. Dos Tipos de Firewalls

Seguridad en Servers 24

Seguridad en Servers 25 fire wall DB server web server wkstn mail server wkstn Local Area NetworkPublic Network/ Internet modem Redes de Telefonía Pública Firewall comprometido

COMO DISEÑAR E IMPLEMENTAR UN PLAN DE SEGURIDAD PERIMETRAL

Seguridad en Servers Computer Security Institute  El 56% de las empresas sufrieron accesos no autorizados a sus sistemas.  Las perdidas asociadas a ataques informáticos en el 2003 alcanzaron los $. (251 organizaciones).  El robo de información causó perdidas de $, seguido muy de cerca por los ataques DoS que alcanzaron la cifra de $.  El 68% de las grandes firmas españolas apenas protege su seguridad informática.

Seguridad en Servers ¿Cuáles son las consecuencias? Responsabilidad legal (LORTAD). Responsabilidad legal (LORTAD). Perdida de confianza (Mala Imagen): Perdida de confianza (Mala Imagen): –Accionistas. –Clientes en B2C. –Empleados (desmotivación, inseguridad). Reducción en los beneficios. Reducción en los beneficios. Robo de propiedad intelectual. Robo de propiedad intelectual.

Seguridad en Servers Tipos De Ataques Los ataques de red pueden ser tan variados como los sistemas a los que intentan penetrar. Algunos ataques son complejos mientras que otros son realizados por el desconocimiento de los usuarios.

Seguridad en Servers Packet Sniffers  Un Sniffer es una aplicación que usa el adaptador de red en modo promiscuo para capturar los paquetes que circulan a través de un mismo dominio de colisión. El principal peligro son los datos que circulan sin cifrar (telnet, ftp, smtp, pop3,…).

Seguridad en Servers ¿Cómo Protegernos?  Switched Infraestructure. Mitiga el efecto de los sniffers. Los hackers sólo podrán tener acceso a la información que fluya por el puerto al que están conectados.  Herramientas anti-sniffers. Detectan cambios en el tiempo de respuesta de las máquinas.  Cryptografia. Es el método más efectivo. Si un canal es criptograficamente seguro lo único que ve un sniffer es texto cifrado y no el mensaje original. (IPSEC, SSH, SSL).

Seguridad en Servers IP SPOOFING  Sucede cuando un hacker dentro o fuera de una red se hace pasar por una máquina “de confianza”. Normalmente se utiliza para realizar otros tipos de ataques. El clasico ejemplo es lanzar un DoS usando una ip spoofed para ocultar su identidad.

Seguridad en Servers ¿Cómo Protegernos?  Control de acceso. Denegar el acceso desde la interfaz externa de cualquier ip que resida en al red interna. Esto sólo sirve si las ips de confianza son las internas, si tenemos ips externas a las que se les permite el paso no nos protege contra el uso de esas ips.  RFC 2827 Filtering. Consiste en denegar el tráfico de salida que no tenga como dirección de origen una ip del rango de nuestra organización.

Seguridad en Servers Denial Of Services  Es el más conocido de los ataques y a su vez el más difícil de eliminar completamente. Son fáciles de realizar. No intentan acceder a nuestra red sino lograr que uno o más servicios no este disponible. Algunos aprovechan protocolos de Internet como el icmp, otros usan agujeros de seguridad en las aplicaciones o errores en el software.

Seguridad en Servers Tipos de DoS: 1. JAMMING o FlOODYNG. (ping de la muerte). 2. TCP SYN FLOOD. 3. Connection Flood (inundación de la conexión), Net Flood (inundación de la red). 4. Land Attack. 5. Supernuke o Winnuke. 6. MAIL BOMBING-MAIL SPAMMING-JUNK MAIL 7. etc.

Seguridad en Servers ¿Cómo Protegernos? Para prevenirlos se requiere una coordinación con nuestro isp, de nada nos sirve que bloqueemos estos accesos si ya han “llenado” nuestro ancho de banda. Pueden ser reducidos sus efectos de la siguiente forma: 1. Medidas Anti-spoof. Si el hacker no puede enmascarar su identidad no debería atacar 2. Medidas Anti-DoS. Configurar los FW y routers para que limiten el máximo de conexiones que un sistema pueda tener abiertas al mismo tiempo. 3. Limitar la tasa de tráfico con el ISP. Este filtro limita la cantidad de tráfico no esencial que atraviesa ciertos segmentos de red.

Seguridad en Servers Password Attacks  Los ataques de contraseña usan diferentes métodos: forzado de password, troyanos, ip spoofing, sniffers, ingeniería social. Lo primero que podemos hacer contra estos ataques es evitar que las passwords circulen sin cifrar. También es básico usar passwords difícil de adivinar, al menos 8 caracteres con mayúsculas minúsculas y numéricos.  Una herramienta muy usada para forzar passwords es la LC3 formerly L0pht Crack). Fuerza passwords de Nt cuando son fáciles de adivinar.

Seguridad en Servers Man in The Middle  Este ataque requiere que el hacker tenga acceso a los paquetes que provienen de una red, por ejemplo un empleado de un ISP. Usan packet sniffers y protocolos de routing y transporte. Pueden generar DoS, recogida de información, acceso a recursos de red, corrupción de los datos transmitidos e introducción de información en las sesiones. El mejor método para prevenirlos es el uso de criptografía.

Seguridad en Servers Ataques a nivel de aplicación  Explotan vulnerabilidades del software de un servidor. Pueden conseguir acceso a la máquina con los permisos que posee la aplicación que tiene la vulnerabilidad. El principal problema es que usan puertos permitidos por los FW.

Seguridad en Servers ¿Cómo Protegernos? Nunca podrán ser completamente eliminados, lo único que podemos hacer es procurar estar al día para corregir las vulnerabilidades. 1. Revisar los logs periódicamente y analizarlos. 2. Estar subscritos a listas de distribución de publican las ultimas vulnerabilidades. 3. Mantener los S.O. y aplicaciones con los últimos parches 4. El uso de IDS.

Seguridad en Servers Reconocimiento de redes Cuando un hacker intenta penetrar en una organización lo primero que suele hacer es recoger toda la información posible sobre su red.  DNS queries pueden revelar quien posee cierto dominio y que direcciones le han sido asignadas.  Ping sweeps de las direcciones reveladas por el dns.  Escaneo de puertos de los hosts descubiertos por los ping sweeps. El uso de IDS es muy útil frente a este tipo de ataques.

Seguridad en Servers Trust Explotiation  Sucede cuando un individuo se aprovecha de las relaciones de confianza dentro de una red. Se pueden mitigar estos ataques instalando niveles de confianza dentro de la Intranet. Los sistemas fuera del FW nunca deberían ser confiado por los de dentro, así como estar limitados a ciertos protocolos y ser autenticados por algo más que su ip.

Seguridad en Servers Redirección de Puertos  Son un tipo de Trust Explotiations, usan un host comprometido para pasar tráfico a través del FW. Un ejemplo claro es el caso de tener una red interna y una DMZ. Para este tipo de ataques también se recomienda el uso de IDS.

Seguridad en Servers Virus y Troyanos  Son la principal vulnerabilidad para los pc’s de los usuarios. Como ya sabemos lo mejor que se puede hacer es el uso de antivirus actualizados y permanecer informado. (Nimda, Blaster,….)

Seguridad en Servers Seguridad Perimetral Consiste en separar nuestra red, mediante el uso de un FW, en zonas a las que asignamos distintos niveles de seguridad.

Seguridad en Servers Cuando la seguridad logica imita a la seguridad fisica  Estamos todos familiarizados con pautas, productos y tecnologias de seguridad fisica  Cerramos puertas y ventanas  Usamos sistemas con tarjetas  Sistemas de alarmas  Camaras de vigilancia  Las contrapartidas en seguridad logica  Firewalls = cierre de puertas y ventanas  IDS = sistemas de alarma y camaras de vigilancia

Seguridad en Servers ¿Qué es VPN-1/FW-1 NG? Garantiza las conexiones de red basándonos en los tres componentes de seguridad esenciales: encriptación, autenticación y control de acceso. (Stateful Inspection) 1. Provee de seguridad de contenidos para HTTP, FTP, UFP y SMTP. Content Vectoring Protocol 2. Creación de VPN site to site y client to site. Secure Remote y Secure Client. Policy Server. 3. Open Platform for Security (OPSEC). 4. Suspicious Activities Monitoring (SAM). 5. Check Point Malicious Activity Detection (CPMAD)

Seguridad en Servers Porque combinar IDS´s y Firewalls?  Firewalls bloquearan "visitantes" no autorizados  Bloqueando sesiones y direcciones no deseadas  Bloqueando algunos ataques – de insercion o fragmentados  Deben de ser SIEMPRE la primera linea de defensa  Pero al mismo tiempo el cortafuegos es debil  Simplemente permiten accesos autorizados - si el puerto esta abierto, no detendran ataques como Code Red, Nimda,...  Los IDS`s toman el relevo cuando los cortafuegos son superados  Inspeccionan las cabeceras en busqueda de anomalias, protocolos inusuales...  Inspeccionan y busquan ataques, backdoor, troyanos, gusanos, etc…… Ambos dispositivos son absolutamente complementarios

Seguridad en Servers Firewall Mail Server Firewall/VPN Remote site or Extranet Enterprise network Management Message Security/Antivirus Intrusion Detection Internet Intrusion Detection Security Breaches VPN Intrusion Detection Router Web and FTP Virus Blocking

Seguridad en Servers TACACS+ Server Cisco Router Personal Firewall Capabilities Security Configuration Control Policy-Based Architecture VPN Secure Client Radius Server Encryption Algorithm:AES/3DES Authentication: X.509 Cert/RADIUS Public Key Algorithm: RSA Key Management: IKE IP Compression: IPCOMP Nokia IP 650 CheckPoint VPN-1 Production Infrastructure Public User/Customer HP OpenView Network Control Center Network perimetral security Conectividad Conectividad Un router gestiona la conexión, asegurado mediante TACACS+, lo que impide los accesos no autorizados al dispositivo. Inspección Inspección Un firewall, mediante una política de seguridad basada en múltiples parámetros, revisa los accesos, y deniega cualquier intento no autorizado. Se autentifica al usuario y se encripta la conexión. Gestión de ancho de banda Gestión de ancho de banda Un gestor asigna los recursos necesarios a cada conexión, impidiendo problemas de seguridad derivados de abuso de recursos u originados por su escasez. Virtual Private Networking Virtual Private Networking Asegurando la conexión extremo a extremo, e impidiendo que el punto de acceso sea un riesgo, utilizamos cliente y servidor VPN seguros, con encriptación fuerte y autentificación. Monitorización y gestión de alertas Monitorización y gestión de alertas Todos los dispositivos anteriores generan y envían alertas, gestionadas por nuestro Network Control Center, así como logs y estadísticas. Total Security Management Total Security Management Toda la información y los procesos anteriores están gestionados y dirigidos desde una autoridad de seguridad central, proactiva y con las máximas certificaciones profesionales. Fw-1/VPN-1 Management Server Nokia Horizon Manager Total Security Management Firewall-1/VPN-1 Management Console PacketShaper 6500 Layers 2 to 7 traffic control Denial-of-Service attack avoidance Security Protocol availability Nokia IP 650 CheckPoint Firewall-1 NG Certificate Server Stateful Inspection access control IP Spoofing avoidance Denial-of-Service attack avoidance Secure Network Address Traslation Encryption Algorithm:AES/3DES Authentication: X.509 Cert/RADIUS Public Key Algorithm: RSA Key Management: IKE Security Alerting