La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en red Iñigo García Merino. Índice ● Introducción ● Amenazas en red ● Tecnologías de seguridad en red ● Arquitecturas de red – Consideraciones.

Publicada porMaría Dolores Salinas Palma Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Seguridad en red Iñigo García Merino. Índice ● Introducción ● Amenazas en red ● Tecnologías de seguridad en red ● Arquitecturas de red – Consideraciones."— Transcripción de la presentación:

1 Seguridad en red Iñigo García Merino

2 Índice ● Introducción ● Amenazas en red ● Tecnologías de seguridad en red ● Arquitecturas de red – Consideraciones generales de seguridad – Bastionado de equipos

3 Introducción ● La seguridad de red es un sistema – Formado por dispositivos de red interconectados, tecnologías y buenas practicas ● No se puede considerar únicamente un ACL en un firewall como seguridad en red – Parte importante para cubrir una o varias amenazas entre otras muchas ● “Defense in depth”-> Necesario analizar cada servicio (VoIP, VPN,...)

4 ● Ejemplo:¿Métodos de ataque a un servidor Web? – Vulnerabilidad en aplicación o OS, explotarla para obtener privilegios y anular el servidor o modificarlo – DOS sobre el servidor (ej TCP SYN flood) para anularlo – DDOS sobre la conexión a Internet y consumir el ancho de banda – Atacar el servidor DNS del ISP para modificar el puntero de tu dominio a otra IP con otro servidor – Atacar otro servidor en la red del servidor Web, y realizar ARP Spoofing + MITM – Atacar el switch Ethernet para bloquear el puerto de conexión con el servidor web – Inyectar o modificar información de rutado para apuntar a otra localización

5 ● Objetivos de ataque – Código en la aplicación o OS – Resistencia a DOS de la aplicación o OS – Ancho de banda de la conexión a Internet – Routers o dispositivos capa 3 – Redirección DNS – Pila de protocolos TCP/IP – Dispositivos de capa 2 – Protocolos de rutado

6 ● Ejemplo: Infección Web Server por un gusano – Un firewall bien configurado puede prevenir, una vez infectado, infectar otros sistemas en distintas redes – NIDS (Network IDS) ayudan a detectar y bloquear intentos de ataque sobre el servidor web – HIDS (Host IDS) proporcionan las mismas funcionalidades que NIDS pero de forma más precisa al acceder a un nivel de información mayor – Software Antivirus para detectar el gusano – Buenas prácticas administrativas (parcheo, análisis de vulnerabilidades)

7 Amenazas en red ● Proceso de un ataque ● Tipo de ataques – Vulnerabilidades comunes

8 Proceso de un ataque

9 Tipos de ataque

10 Read Attacks ● Data Scavenging (Obtención de datos) – Info: IP de sistemas (WWW,DNS, mail), rangos de IP de la victima, ISP de la victima – Métodos: Ping,Traceroute, NSLookup, Whois (www.nic.es), Googlewww.nic.es – Casi imposible de detectar: ● Google, Whois, NSLookup: Info pública ● Ping, Traceroute: Baja tasa de datos y dificultad diferenciar datos “buenos y malos”

11 Read Attacks ● Probing and Scanning (port scanning and vulnerability scanning) – A partir de data scavenging- obtener más info aún – Métodos: Nmap – OpenVas, w3af – Vía nmap: ● Ips públicas alcanzables ● “Sistema Operativo de cada sistema” ● Servicios disponibles en cada IP

12 Read attacks ● IDLE SCAN

13 Read Attacks ● Basic Vlan Hopping (Propio de cisco) – Acceder a información de otras VLAN – Utilizando el protocolo de cisco DTP ● Spoofeando los mensajes DTP desde 1 host haciendo que el switch funcione como trunk. A partir de ahí enviar los mensajes a la VLAN deseada. ● Incorporando 1 rogue switch y activando el trunking. – Protección: Desactivando el auto trunking en aquellos puertos no necesarios.

14 Read Attacks ● Creative Vlan Hopping – Permite llegar de forma unidireccional a otras VLANs – Funciona añadiendo dos tags a las cabeceras 802.1Q

15 Read Attacks ● Creative Vlan Hopping – Protección: Mantener una VLAN nativa distinta para trunks y para otras VLANs – Método: Yersinia. Permite generar un número elevado de protocolos de nivel 2. Necesario estudiar los RFC de cada uno. Ataques propios para cada uno.

16 Read Attacks ● War Dialing/Driving – Acceso a la red “por la puerta de atrás” – War Dialing: Llamar a los prefijos de la compañía buscando conexiones modem para identificar sistemas al otro lado. Evita medidas de seguridad. Tone Loc – War Driving: Busqueda de conexiones WLAN débiles: Kismet o Netstumbler + Aircrack

17 Read Attacks ● Sniffer – Busqueda de información en flujos de información: ● Información de autenticación (password) ● Patrones comunes en la red de la victima ● Información de gestión de la red ● Transacciones confidenciales – Necesario que el trafico se accesible – Métodos: Wireshark, Ettercap,..

18 Read Attacks ● Direct Access – Todos los ataques para acceder a los sistemas, normalmente, a través de capa 7 – Ejemplo: Logging en el servidor via Telnet y obtener /etc/passwd – A veces se pueden bloquear a niveles inferiores ● Ejemplo: Bloqueando en el firewall a capa 4 el puerto 23

19 Manipulate attacks ● Network manipulation – Incluye ataques de red para evitar medidas de seguridad, detectar sistemas, DOS... – Principal:Ip Fragment (Método: fragroute) ● Fragmentación intencional de los paquetes para evitar controles de seguridad (firewall o IDS). IP Fragmentation Buffer Full ● Modificaciones de los parámetros de fragmentación para DOS o detección de sistemas. IP Fragment overlapped o TearDrop attack – Otros: Source Route Attack (en desuso), Manipulaciones en TCP/IP (Creatividad!!!)

20 Manipulate attacks ● Application manipulation – Explotar vulnerabilidad en el código de la aplicación: Buffer Overflow ● Web Application: XSS, XSRF, SQL Inj,.. → Curso Seguridad Web

21 Spoofing attacks ● MAC Spoofing – Suplantación dirección MAC de otro equipo de la red. – Switch modifica tabla CAM (puerto físico,VLAN y MAC) cuando el atacante envía datos con la MAC falsa – Funciona hasta que el equipo real envia datos – Mejor en sistemas que reciben información continuamente y no envían (Servidores Syslogs) – Protección: Configuración en el switch (port security)

22 Spoofing attacks ● DHCP Attack (1) – Atacante modifica repetidas veces su MAC para solicitar al servidor DHCP todas las direcciones IP disponibles. DOS – Método: DHCP_Glober – Protección: Configuración switch (port security) ● DHCP Attack (2) – Atacante introduce un Rogue DHCP Server. Ofrece Ips con campos de DNS y Gateway hacia él mismo. – Protección: Configuración en el switch (Puertos de envio y de recepción (DHCP Snooping))

23 Spoofing attacks ● IP Spoofing – Suplantación de IP de origen – Métodos formación paquetes: Libnet, Hping – Muy útil para DOS ● TCP/UDP Spoofing – UDP más sencillo. No orientado a conexión – Mayor seguridad en TCP: Secuencia pseudoaleatoria de 32 bits. Muy complicado sin sniffing de la comunicación iniciada

24 Spoofing attacks ● Identity Spoofing – Incluye password cracking (John The Ripper,LC4), ataques fuerza bruta-diccionario, robo de certificados digitales,... – A nivel de red, el peligro radica en la transmisión de los datos de logging en texto claro

25 Spoofing attacks ● Rogue Devices – Introducción de dispositivos en una arquitectura red (Servidor DHCP, Rogue WLANs,...) – Ejemplo: ● Un atacante compra un WLAN AP ● Se viste de forma apropiada para una empresa ● Accede a la sala de conferencia, conecta su AP al switch de la sala ● A partir de ahí tiene acceso completo a la red de la empresa

26 Flooding attacks ● MAC Flooding – Atacante envía paquetes con MAC origen y destino spoofeada – Tabla CAM del switch se satura. El switch reenvia los datos con destino a una MAC desconocida por todos los puertos de la VLAN (modo HUB) – Permite al atacante sniffear todos los paquetes – Protección: Configuración en switch (port security)

27 Flooding attacks ● Network Flooding – Ataques orientados a consumir el ancho de banda para bloquear accesos legítimos – Smurf attack: ● Utiliza paquetes ICMP con origen spoofeado ● Consigue incrementar la tasa de datos que llega a la victima 10kbps * 100 hosts = 1 Mbps ● Método: Cualquier herramienta ping

28

29 Flooding attacks ● Network Flooding – DDOS attack ● Ocurren diariamente ● Basados en el antiguo ataque “Stacheldraht DDOS attack” ● Handlers sustituidos por agentes registrados en IRC ● No se pueden contener sin ayuda de los ISP ● Métodos: Trinoo, The Tribe Flood Network

30

31 Flooding attacks ● TCP SYN Flooding – Ataques de flooding más conocidos (Mitnick utilizo en su ataque contra Tsutomu Shimomura con 8 SYN) – Hoy en día poco uso – Métodos: apsend spastic

32 Flooding attacks ● Application Flooding – Consumo de recursos de aplicación o sistema – Ejemplos ● SPAM ● Solicitudes de autenticación sin terminar ●...

33 Redirect attacks ● ARP Redirection/Spoofing (L2) – Su principal objetivo es redirigir. Spoofing sólo un mecanismo – Métodos: arpspoof(dsniff), ettercap

34 Redirect attacks ● STP Redirection (L2) – Ataque basándose en el protocolo Spanning Tree – Consigue hacerse pasar por el root STP y modificar la arquitectura – Explotable con cualquier sistema que genere mensajes STP (switch, UNIX host,...)

35 Redirect attacks ● STP Redirection (L2)

36 Redirect attacks ● STP Redirection (L2) – Protección: Configuración en switches – Cisco: BPDU Guard – Root Guard

37 Redirect attacks ● IP Redirection (L3) – Redirección del tráfico de red por equipos del atacante – Método: Introduciendo falsos routers o modificando las configuraciones de rutado en los equipos – Explotable desde el exterior. Protocolo GRE (Generic Route Encapsulation)

38 Redirect attacks ● Transport Redirection – Consigue redireccionar tráfico que normalmente no se admitiría. Muy utilizado. Netcat

39 Composite attacks ● Virus,Gusanos y troyanos ● Rootkits ● MITM – EJEMPLO PRÁCTICO MITM-WEB CON DSNIFF)

40 MITM – $ echo "1" > /proc/sys/net/ipv4/ip_forward – $ arpspoof -t 172.16.243.129 172.16.243.1 – Comprobar víctima tabla arp – Creamos /etc/dnsspoof.host: – IP ATACANTE prueba.atacante.edu – $./dnsspoof -f /etc/dnsspoof.host – Comprobar en víctima: nslookup prueba.atacante.edu – Utilizar webmitm para proxy web- Suplantación certificados – Avance: SSL Strip (Cambio de HTTPS a HTTP automático

41 Tecnologías de seguridad en red ● Bases tecnológicas para mitigar las principales amenazas ● Organización de forma similar a las amenazas ● Seguridad en red → Complicaciones a varias capas ● Principal problema → “No estaba pensado para eso”

42 Tecnologías de seguridad en red ● Identity technologies – Reusable passwords, RADIUS y TACACS+, OTP, PKI ● NIDS – Signature-based NIDS, anomaly-based NIDS ● Host and application security – File system integrity checking, host firewalls, HIDS/HIPS, host antivirus

43 Tecnologías de seguridad en red ● Network Firewalls – Router with ACL, stateful firewall ● Content filtering – Proxy servers, web filtering, e-mail filtering ● Cryptography – Layer 2 Crypto, L3 Crypto, L5 to L7 crypto

44 Identity technologies ● ¿Quién es?- Asegurar Autenticación ● Centrada en “user identity”-> Computer identity= IP

45 Identity technologies ● Reusable passwords – Logging + Pass – Política de creación y gestión de contraseñas (fortaleza, limites de accesos fallidos, caducidad, revisión logs de acceso,...) – Detecta: Identity Spoofing – Protege: Direct Access

46 Identity technologies ● RADIUS and TACACS+ – Protocolos de autenticación en red centralizada (AAA Server) – Incluye password, username y user rights – Centralizado->Fácil auditar fortaleza del sistema de identificación – Protege: Identity spoofing, Direct Access ● RADIUS: Estándar abierto muy soportado. UDP. Cifrado sólo password. Utilizar con IPSEC ● TACACS: Propiedad de Cisco. Sólo en sus equipos. TCP. Cifrado todas las comunicaciones.

47 Identity technologies ● OTP (One Time Password) – Two factor authentication – Evita que un atacante pueda acceder conociendo la password. – Token cards (RSA Token ID). “Vulnerable” – Mensajes móvil – Protege: Identity spoofing, Direct Access – Muy utilizado en sistemas críticos: Bancarios, Accesos VPN

48 Identity technologies ● Basic PKI – Infraestructura de distribución y uso de certificados digitales – Open PKI: Sistema jerárquico de CA ● Problemas: ● Antiguo: Parámetro X509: Basic Constraint. Moxie Marlinspike. Método (sslsniff) ● Nuevo: Colisión MD5 – Closed PKI: CA en la propia arquitectura – Protege: Identity Spoofing, Direct Access

49 Network Intrusion Detection Systems ● Signature Based NIDS – Sniffer de red que verifica patrones de tráfico predefinidos (firmas) – Genera alertas en caso de detección – Posibilidad de protección. Peligro falsos positivos – Método: Snort – Detección: En función de las firmas –

50 Network Intrusion Detection Systems ● Anomaly-Based NIDS – Aprende tráfico normal y registra el tráfico de excepción – Basada en métricas: Normalmente 20 kbps → 20 Mbps ¡¡¡DOS!!!! – Detecta: Network flooding, TCP SYN Flood – Ventajas: Menor número de alertas para un mismo ataque – Método: Snort

51 Host and Application Security ● File System Integrity System – Almacenamiento y revisión de hash de ficheros críticos – Detección: “Rootkits,gusanos,...” – Método: Tripwire ● Host-Based Firewall – Dificiles de gestionar – Recomendable para equipos “open” – Método: Ipfilter, Firestarter,.. – Detecta: Probe/Scan – Protege: Direct Access, Remote Control System

52 Host and Application Security ● HIDS (Host Intrusion Detection System) – Detección de ataques SUCEDIDOS en el extremo host de forma similar a NIDS – Ventajas: Acceso a datos de ataques de capas superiores cuyo objetivo es el propio host. Detecta ataques que han saltado el NIDS y el firewall → PELIGROSO – Problemas de gestión/precio – Detecta: Probe/Scan, Direct Access, Application Manipulation, TCP SYN Flood, Transport Redirection, Remote Control Software

53 Host and Application Security ● HIPS (Host Intrusion Prevention System) – Evolución de HIDS → BLOQUEA – Peligro: Falsos positivos – IPS preferible en Host que en Red – Métodos: mod_security (WAF), Entercept McAffee – Protege: Probe/Scan, Direct Access, Application Manipulation, TCP SYN Flood, Transport Redirection, Remote Control Software,....

54 Host and Application Security ● Host AV – Base de la seguridad en extremos – Basado en firmas y, en menor medida, heurística – Protege: Virus, Gusanos, Troyanos

55 Network Firewalls ● Routers capa 3,4 con ACL (Stateless) – Access list 101 permit TCP 10.1.1.0 0.0.0.255 host 10.2.3.4 22 – Problema stateless- No controla la conexión → No bloquea el otro sentido- Necesario indicar “established” – Detecta: Network Flooding – Protege: Network Manipulation, IP Spoofing, IP Redirect – Comandos estáticos ● Source Route Attack (no ip source-route) ● Smurf attack (no ip directed-broadcast)

56 Network Firewalls ● Stateful Firewall – Basado en stateless (protección y detección similar) → Ventaja: Controla la conexión – No es necesario indicar el otro sentido de la conexión. Mayor seguridad: No es posible transmitir si no ha sido iniciado antes – Controla: ● Puertos Origen y Destino ● IP origen y destino ● Números de secuencia (L4) ● Datos aplicación (L7-Mucha carga)

57 Content filtering ● Proxy Servers – Finaliza conexiones hacia un servidor y las reinicia haciéndose pasar por el cliente – Web Proxys → SOCKS Proxy – Protege: Direct Access – Básicamente, es una medida de control de usuarios

58 Content filtering ● Web Filtering / Email filtering – Herramientas de restricción de acceso – Red: Redirección de tráfico a servidor de filtrado web (o en el proxy) – Locales: Servicio de filtrado activo (Blue Coat Proxy Client) – EJEMPLO: Evitar proxy red ● Ultrasurf, Thor ● Túneles!!!

59 Cryptography ● Confidencialidad, integridad y autenticación ● L2 Cryptography – Más conocido y vulnerable: WEP- RC4 – Utilizado principalmente en WLAN – Muchas veces sustituido por cifrado de red: Menor coste, interoperabilidad y facilidad de gestión. – Protege: Identity spoofing, Direct Access, Sniffer, Mac Spoofing, MITM

60 Cryptography ● Network Layer Cryptography – Por defecto: IPSec – Permite a través de una conexión segura transmitir varios protocolos – IP Gateway-IP Gateway – PC Client- IP Gateway: VPNoIPSec – PC Client- PC Client – Dificultades de gestión. No utilizado – Protege: Identity Spoofing, Direct Access, Sniffer, IP Spoofing, MITM

61 Cryptography ● L5 to L7 Cyptography – Alternativa a IPSec en situaciones especificas del nivel de aplicación. EJ: SSL en web – Comunicación web: Posibilidad teórica de utilizar IPSec-> previa comunicación establecer conexión cifrada capa 3 – Red: SSH/SSL utilizado principalmente para gestión de equipos. – Protege: Identity Spoofing, Direct Access, Sniffers, MITM

62 “TENGAN CUIDADO AHÍ FUERA”

Descargar ppt "Seguridad en red Iñigo García Merino. Índice ● Introducción ● Amenazas en red ● Tecnologías de seguridad en red ● Arquitecturas de red – Consideraciones."

Presentaciones similares

Riesgos Origen de los Riesgos en la Seguridad:

Riesgos Origen de los Riesgos en la Seguridad:
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Tema 3: Seguridad en la Red.  Conceptos básicos  Protocolos de seguridad  Redes y seguridad Tipos de ataque y política de seguridad Criptografía y privacidad.

Tema 3: Seguridad en la Red.  Conceptos básicos  Protocolos de seguridad  Redes y seguridad Tipos de ataque y política de seguridad Criptografía y privacidad.
Existen dos tipos básicos de redes VPN:

Existen dos tipos básicos de redes VPN:
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
En este capitulo se analizo la relación entre cliente y servidor de red habituales, como: HTTP FTP DNS DHCP Correo Electrónico INTRODUCCIÓN.

En este capitulo se analizo la relación entre cliente y servidor de red habituales, como: HTTP FTP DNS DHCP Correo Electrónico INTRODUCCIÓN.
Modelo TCP / IP Conjunto de protocolos. La sigla TCP/IP significa Protocolo de control de transmisión/Protocolo de Internet y se pronuncia T-C-P-I-P.

Modelo TCP / IP Conjunto de protocolos. La sigla TCP/IP significa "Protocolo de control de transmisión/Protocolo de Internet" y se pronuncia "T-C-P-I-P".
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.
Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.
Seguridad de Datos IDS e IPS.

Seguridad de Datos IDS e IPS.
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II

UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II
FIREWALLS, Los cortafuegos

FIREWALLS, Los cortafuegos
Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.

Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.
Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con.

Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con.
Protocolos de Transporte y Aplicación

Protocolos de Transporte y Aplicación
Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación
Capa de Acceso de Red (Network Access Layer). Definición: Es la primera capa del modelo TCP/IP. Ofrece la capacidad de acceder a cualquier red física,

Capa de Acceso de Red (Network Access Layer). Definición: Es la primera capa del modelo TCP/IP. Ofrece la capacidad de acceder a cualquier red física,
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.

En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.

Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.

Presentaciones similares

Anuncios Google