Práctica 9 – Configuraciones de ayuda a la seguridad.

Slides:



Advertisements
Presentaciones similares
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Advertisements

Sistemas Peer-To-Peer La plataforma JXTA
Que es y su funcionamiento básico
Técnicas avanzadas de penetración a sistemas
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
PROTOCOLO SEGURO HTTPS
José Antonio Matamoros Vargas
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Telnet y SSH Integrantes: Carlos Parra José Isabel
SOCKETS INTRODUCCIÓN DEFINICIÓN TIPOS DE SOCKETS USO DE SOCKETS.
Capa de transporte.
TOPICOS ACTIVIDAD # 5 TOPICOS G.B.I PRESENTADO POR:
Ataques a redes y NMAP (Network Mapper)
SERVICIO DHCP Mª Begoña Castells 2º S.M.R.. Cuestiones de repaso IP.- Código que identifica una interfaz o dispositivo dentro de una red TCP/IP Es un.
FIREWALL.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
LISTAS DE CONTROL DE ACCESO (ACL)
Instalación y configuración de servidores. 2 de 9 Servicios Internet (I) “El proyecto Apache es un esfuerzo conjunto para el desarrollo de software orientado.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
Correo electrónico Internet
66.69 Criptografía y Seguridad Informática FIREWALL.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
DHCP protocolo de configuración dinámica de host.
Fundamentos de TCP/IP.
Javier Rodríguez Granados
DIDACTIFICACION DE IPv6 00. TEREDO. Introducción a IPv6 Mediante esta presentación, mostraremos el funcionamiento de Teredo en cuanto a dar conectividad.
Seguridad DNS. Javier Rodríguez Granados.
Por Pablo Marcos Jiménez Por Pablo Marcos Jiménez.
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Antivirus Proxy Ana karen, xochitl, galena, Dennis!
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Redes de Datos Integrantes: Guízar Gómez Gerardo Nassir López Ortega Juan Manuel Rodríguez Castro Ronald Michel Silva Rangel Ángel Eduardo Capa 5. Sesión.
S ERVICIOS DE RED E I NTERNET T EMA 4 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS W EB Nombre: Adrián de la Torre López.
Manual violento de Navicat
Protocolos del modelo TCP/IP
Mg(c) Ing. Miguel A. Mendoza Dionicio Curso: Diseño de Redes de Comunicación Instituto Superior Tecnológico Público INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO.
Ing. Elizabeth Guerrero V.
4. Introducción a IP,TCP,UDP,ARP,ICMP
Punto 2 – Elementos de Correo Juan Luis Cano. Para que una persona pueda enviar un correo a otra, cada una ha de tener una dirección de correo electrónico.
Jorge De Nova Segundo. La vulnerabilidad Cache poisoning (DNS spoofing). Básicamente consiste en forzar las respuestas de un servidor o resolvedor DNS.
Registros de recursos DNS.
BOOTP Luis Villalta Márquez.
UD 1: “Introducción a los servicios de red e Internet”
PROTOCOLO TCP Y UDP.
Protocolos de comunicación TCP/IP
Ing. Elizabeth Guerrero V.
Luis Villalta Márquez Servicios SFTP/SCP. SFTP SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo.
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Protocolos de Transporte y Aplicación. – TCP y UDP
Jorge De Nova Segundo. Clientes DNS Se puede considerar que un resolver es cualquier software capaz de preguntar a un servidor DNS e interpretar sus respuestas.
Arquitecturas de cortafuegos Gabriel Montañés León.
Arquitecturas de cortafuegos:
Almacenamiento virtual de sitios web: «Hosts» virtuales
Nivel de Transporte en Internet
Unidad 4. Servicios de acceso remoto
Iptables Introduccion Comandos Basicos Ejemplos.
Sistemas de Comunicación Grupal
Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.
UD 2: “Instalación y administración de servicios de configuración automática de red” Protocolo DHCP Luis Alfonso Sánchez Brazales.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.
SERVICIOS EN RED UT2 – Servicios DHCP.
Protocolos de Transporte y Aplicación
UT7. SEGURIDAD PERIMETRAL
Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)
LISTAS DE CONTROL DE ACCESO
Transcripción de la presentación:

Práctica 9 – Configuraciones de ayuda a la seguridad

 Es un servicio de login remoto seguro (Secure Shell Daemon) ◦ Servidor (sshd) en TCP puerto 22 ◦ Cliente (ssh)  Comprobamos que están operativos ◦ Comando ssh ◦ Comando service ◦ Comando netstat

 Sistema de control de acceso a servicios según: ◦ Servicio ◦ Nombre de host ◦ Dirección de red o IP  Controlado por dos archivos ◦ /etc/hosts.allow ◦ /etc/hosts.deny

 Usualmente instalado en Debian como tcpd

 hosts.allow  hosts.deny

 Limitación de acceso a subred ◦ sshd: ALL EXCEPT /24 en hosts.deny.

 Acceso imposible desde  Registrado en /var/log/auth.log

 Acceso posible desde x  Registrado en /var/log/auth.log

 Acceso posible desde x  Registrado en /var/log/auth.log

 Limitación de acceso a un único host ◦ sshd: ALL EXCEPT /24 en hosts.deny.

 Acceso posible desde samus.nl ( )

 Acceso imposible desde cualquier otro host.

 Sysctl es un comando para controlar configuración del sistema. ◦ Más de 700 variables

 Archivo cargado en el arranque  Permite cambiar las variables de sysctl.  Se puede cargar manualmente con sysctl -p

 Son paquetes con direcciones de origen o destino imposibles.  net.ipv4.conf.all.log_martians = 1 ◦ Se registran los paquetes marcianos en /var/log/messages. ◦ Registrar paquetes extraños puede ayudar a detectar algunos ataques con spoofing.  Probamos a enviar paquetes con como dirección de origen.

 Net.ipv4.tcp_syncookies = 1  Ayudan a evitar ataques de tipo SYN Flood  Elige valores del número de secuencia tales que codifican la información de la conexión. ◦ Se puede responder a SYN con SYN+ACK y descartar la conexión de la cola evitando la saturación. ◦ Si se completa la conexión, se reconstruira la entrada de la cola mediante el número de secuencia en el ACK recibido.

 Los paquetes ICMP Redirect son enviados por routers a los hosts para actualizar sus tablas de ruta si detectan que están enrutando paquetes del host hacia otro router visible por éste.  Se pueden utilizar estos paquetes para realizar ataques Man in the Middle redirigiendo el tráfico del host a un router comprometido.

 net.ipv4.conf.all.accept_redirects = 0 ◦ Bloquea todos los mensajes de tipo ICMP Redirect.  net.ipv4.conf.all.secure_redirects = 0 ◦ Sólo acepta ICMP redirects si provienen de un router que ya estaba en la tabla de rutas del host. ◦ Se puede evitar si el atacante realiza spoofing de la IP de origen del ICMP Redirect.

Práctica 10 – Análisis de servicios activos

 Herramienta (network statistics) que permite listar las conexiones existentes en un equipo.  Disponible en Linux, Windows, OSX, etc.

 Invocar sin argumentos omite los sockets en escucha.  Muestra también los sockets de dominio UNIX ◦ Mecanismo de comunicación entre procesos que utiliza la infraestructura de sockets  Debemos filtrar la salida ◦ -a | -l Muestran los sockets en escucha ◦ --inet Muestra sólo sockets de la familia AF_INET

 *.* en dirección externa indica que escuchan conexiones de cualquier procedencia.

 -p muestra el proceso que ha creado el socket  -numeric permite evitar la resolución de nombres o el uso de nombres simbólicos de puerto (/etc/services).

 MDA (dovecot) ◦ TCP 110 – POP3 ◦ TCP 143 – IMAP  MTA (exim4) ◦ TCP 25 – SMTP  DNS (named) ◦ UDP 53 – DNS  SSH (sshd) ◦ TCP 22  Servidor de BBDD ◦ TCP MySQL

 Faltan algunos servicios. ◦ Apache?  Dichos servicios funcionan con IPv6 mapeadas a IPv4 ◦ Añadimos el switch -6 a netstat

 Apache en ◦ TCP 80 (HTTP) ◦ TCP 443 (HTTPS)

 También aparecen conexiones en curso...  Conectamos mediante SSH

 Dos nuevas conexiones (se ha conectado al propio equipo) ◦ Cliente ◦ Servidor

 Similar a Linux, sólo cambian los switches.

 Invocamos igual ◦ -a Mostrar todas las conexiones ◦ -f Resolver IPs a FQDN ◦ -b Mostrar proceso creador de la conexión  NOTA: localhost aparece como activation.guitar-pro.com (está definido en el archivo HOSTS)

 Esta máquina no tiene apenas servicios ◦ MySQL en TCP 3306 ◦ KMService (Activador Office) ◦ VMWare  La mayoría son sockets para IPC  Hay conexiones web activas

 Herramienta básica de creación de conexiones.  Puede utilizarse para comprobar conexiones a puertos conocidos de servicios.

 Herramienta básica de creación de conexiones.  Puede utilizarse para comprobar conexiones a puertos conocidos de servicios. ◦ Opción –v (verbose) ◦ Opción –z (escanear respuesta, no conectar)  Probamos a los puertos reservados (1-1023) en nuestra propia máquina.

 Herramienta de análisis de redes muy madura y potente.  Preinstalada en la mayoría de distribuciones Linux.  Escaneo de hosts y puertos

 Especificación de objetivos ◦ Dirección IP ◦ Notación Red/Prefijo ◦ Rangos de IP ◦ Nombres de host  Especificación de puertos ◦ Puertos únicos ◦ Rangos ◦ Por Protocolo mediante prefijos  U: (UDP)  T: (TCP)  S: (SCTP)

 Varios modos de escaneo ◦ -sS TCP SYN ◦ -sT TCP connect() ◦ -sU UDP ◦ -sN, -sF, -sX TCP NULL, FIN y Christmas ◦ -sA TCP ACK ◦ -sM TCP Maimon ◦ -sW TCP Window ◦ -sI Idle scan ◦ -b FTP Bounce ◦ Otros...

 Se envían sondas SYN ◦ Respuesta SYN + ACK > Abierto ◦ Respuesta RST > Cerrado ◦ ICMP Unreachable o timeout > Filtrado  Muy rápido y discreto ◦ No se llegan a crear conexiones  Requiere root para crear paquetes RAW

 Se realiza con connect() ◦ Respuesta SYN + ACK > Abierto ◦ Respuesta RST > Cerrado ◦ ICMP Unreachable o timeout > Filtrado  Menos discreto ◦ Se crean conexiones, quedan registradas en logs  No requiere root

 Se envían datagramas UDP vacíos ◦ Recibir respuesta > Abierto ◦ ICMP Port Unreachable (Tipo 3, Cód. 3) > Cerrado ◦ Cualquier otro ICMP Tipo 3 > Filtrado  Mucho más lento ◦ No recibir respuesta puede significar pérdida de sonda, es necesario retransmitir ◦ Los hosts pueden limitar el flujo de ICMP a uno por segundo

 Envían sondas sin SYN, ACK ni RST  Según el RFC de TCP si se recibe una sonda así ◦ Un puerto cerrado responde con RST ◦ Un puerto abierto la descarta  Flags activas ◦ NULL: Ninguna ◦ FIN: FIN ◦ Xmas: URG, PSH y FIN  Es menos fiable y más sensible a implementaciones de pila y firewalls.

 Envían sondas con flag ACK ◦ Puertos abiertos o cerrados responden con RST  ACK Scan no permite diferenciar abierto o cerrado, solo filtrado o no filtrado  Es muy dependiente de firewalls e implementaciones de pila  Window scan usa el valor del campo Window de las respuestas RST ◦ 0 indica cerrado ◦ >0 indica abierto

 Maimon es análogo a NULL Scan, pero con las flags FIN y ACK  Algunos sistemas BSD descartan estas sondas en contra del protocolo.  --scanflags permite especificar que flags llevarán activas las sondas

 Es completamente ciego y silencioso. No se envía nada desde el equipo que escanea al objetivo.  Se utiliza un host «zombie» aprovechando un exploit de Ids de fragmentación IP predecibles.  Permite explorar relaciones de confianza en las firewalls usando diferentes «zombies»

 Se basa en la característica Proxy FTP Connection del protocolo FTP  Si conectamos a un servidor FTP con esta característica, se puede usar el servidor para que haga el escaneo, mejorando el sigilo  No es una característica muy soportada hoy en día

 Utiliza diversas técnicas de sondeo con payloads específicos para obtener más información de los servicios del objetivo.  Puede averiguar números de versión, tipos de SO, etc.  Nivel de agresividad controlable ◦ -–version-intensity

Práctica 11 – Ataques de denegación de servicios

Dsniff es un conjunto de herramientas de “análisis de tráfico” que trabaja a diferentes niveles con el fin de obtener información útil del equipo o equipos “monitorizados Utilidades dsniff mailsnarf webspy arpspoof dnspoof macof tcpnice

 Ataque consistente en introducirse en el medio de una conexión haciéndonos pasar para cada extremo por el interlocutor esperado.  Permite visualizar y manipular los datos de la víctima.

 ARP Poisoning

Envenenamos las cachés arp de los dos equipos que se comunican.

 Primero se ha de activar el IP forwarding en el equipo, para poder actuar como un router.  A continuación se envenenan las tablas con arpspoof

 Comprobamos que el ataque se ha realizado correctamente.

 Una vez situados en medio de la comunicación utilizamos dsniff para «olfatear» (sniffing) credenciales de autenticación de protocolos en texto plano. ◦ HTTP ◦ FTP ◦ Telnet ◦...

 El equipo atacante actúa como un servidor DNS y falsifica las resoluciones de nombres.  Redirige las solicitudes del usuario a donde el atacante quiera.  Se crea un fichero con las resoluciones falsas deseadas.

 Permite monitorizar en tiempo real las páginas que visita la víctima.

 Los ataques de denegación de servicio distribuidos (Distributed Denial of Service) consisten en colapsar determinados servicios mediante una sobrecarga de solicitudes coordinadas entre varias fuentes, consiguiendo un volumen de tráfico mucho mayor.  Se pueden realizar sin consentimiento del usuario mediante botnets.  Herramientas como LOIC (Low Orbit ION Cannon)

 Ataque DDoS masivo a los datacenters de Blizzard en Irvine, California.  Ocurre durante los días siguientes al lanzamiento de la última expansión de World of Warcraft (13/11/2014)  Causa colapsos en los servidores de autenticación y de juego, desconexiones, latencias altísimas y colas de entrada

 Monitorización del ataque por la herramienta NORSE.

 Se trata de mensajes o advertencias engañosas.  Se trata de conseguir la mayor distribución posible.  Sirven para captar direcciones de usuarios para enviar spam o malware, suplantar identidades, etc.

 Hay algunas pautas para reconocerlos ◦ Son anónimos ◦ Ocultan u omiten fechas de publicación ◦ Contienen «ganchos» como ofertas imposibles ◦ Contienen peticiones de reenvío

 Hoaxes en Whatsapp, Facebook, etc.

 Amenazas falsas de virus...

Práctica 12 – Netfilter e IPTables

 Módulo de kernel Linux.  Instalado en la mayoría de distribuciones  Funciones ◦ Filtrado de paquetes ◦ Manipulación de paquetes ◦ Traducción de direcciones (NAT) ◦ Otros

 Provee un framework sobre el que construir aplicaciones  «Hooks» en la pila de red que permiten registrar funciones «Callback»  Se llama a dichas funciones cuando un paquete atraviesa un «hook» en la pila.

 Varios subsistemas y extensiones ◦ IPTables ◦ ConnTrack ◦ NAT ◦ Múltiples APIs para extensiones de terceros.

 Estructura de tablas genéricas para definición de reglas.  Niveles de estruturado ◦ Tablas ◦ Cadenas ◦ Reglas

 Tabla FILTER se encarga del filtrado de paquetes según las reglas.  Se opera sobre ella si no se especifica otra.  Consta de tres cadenas por defecto. ◦ INPUT: Paquetes cuyo destino es el sistema. ◦ OUTPUT: Paquetes generados en el sistema. ◦ FORWARD: Paquetes que deben ser enrutados por el sistema.

 Tabla NAT se encarga de las traducciones de direcciones de red.  Consta de tres cadenas por defecto. ◦ PREROUTING: Paso previo a consultar la tabla de rutas. Realiza DNAT (Traducción de destino) ◦ POSTROUTING: Paso posterior a consultar la tabla de rutas. Realiza SNAT (Traducción de origen) ◦ OUTPUT: Paquetes generados en el sistema. Realiza DNAT limitada.

 Tabla MANGLE manipula paquetes que pasan por sus cadenas, como por ejemplo, bits QoS.  Es la más avanzada y consta de las cinco cadenas ya vistas.

 Cadenas son listas ordenadas de reglas  Las reglas especifican criterios de coincidencia y objetivos ◦ Los paquetes coincidentes se mandan al objetivo de la regla ◦ El resto de paquetes proceden a la siguiente regla de la cadena ◦ Si se llega al final de la cadena, se continua por la cadena «madre» o se sigue la política por defecto.

 Objetivos ◦ ACCEPT : Aceptar ◦ DROP : Descartar ◦ QUEUE : Encolar paquete ◦ RETURN : Salir de la cadena actual ◦ LOG : Registrar paquete ◦ REJECT : Descartar con notificación ◦ SNAT, DNAT : Realizar traducción NAT ◦ MASQUERADE : Traducción NAT dinámica ◦ Otros...

 Permite registrar las conexiones en curso.  Categoriza paquetes en función de su asociación a una conexión como: ◦ NEW : No asociado ◦ ESTABLISHED : Ya asociado a una conexión ◦ RELATED : Relacionado con la conexión pero no estrictamente parte de ella (p.e. ICMP) ◦ INVALID  Permite la creación de firewalls con estado.

 Comando iptables para modificar reglas y cadenas.

 Limitar acceso a un servidor web a la subred local. ◦ Descartar paquetes destinados al puerto 80 que no procedan de la subred /24

Equipo de la subred

Equipo

Log en dmesg

Bloqueado desde equipos externos

Añadimos a los equipos permitidos.

 Limitación de conexiones salientes SSH ◦ Permitir sólo a samus.nl ( ) ◦ Descartar paquetes dirigidos al puerto TCP 22 si la dirección de destino no es

Válido Bloqueado Registrado en dmesg

 Bloqueo de todo el tráfico excepto pings ◦ Cambio de políticas por defecto a DROP ◦ Aceptar explícitamente  ICMP Echo Request de  ICMP Echo Reply a ◦ NOTA: Se debe poner la IP del servidor, al bloquear las solicitudes DNS no se podría resolver samus.nl.

Pings desde el equipo. Pings hacia el equipo.