Seguridad en Redes

Introduccin al Ethical Hacking

Flix Molina ngel
molina@uagro.mx

Objetivo: Fomentar la importancia de asegurar los recursos informticos para evitar el acceso no autorizado.

Agenda
Conceptos de redes y seguridad Conceptos de Hacking Fases de Hacking

Tipos de ataques
Hacking tico Footprinting Pen Testing Laboratorios

Conceptos de redes y seguridad

Modelo de red TCP/IP
HTTP, FTP, DNS, SMTP TCP, UDP

Aplicacin Transporte

IP

Red
ETHERNET

Acceso a la red

Conceptos de redes y seguridad

Qu es seguridad?
Es el nivel en que un recurso fsico o lgico, se mantiene con poca posibilidad de ser robado, alterado o interrumpido.

Comp. bloqueada

Guardaespaldas

Espa

Filtro spam

Conceptos de redes y seguridad

Amenazas

Recurso informtico

Daisy Chaining

Conceptos de redes y seguridad

Integrity
Propociona certeza al recurso, evitando cambios Asegura que la inapropiados y no informacin sea accesible por autorizados usuarios autorizados. El Seguridad de manejo Asegura que el recurso que inapropiado o un la Informacin se requiere consultar, de Confidenciality intento Availability almacenar, procesar, hackeo de datos comunicar, puede alterar sea la accesible, por los usuarios confidencialidad . autorizados

Conceptos de redes y seguridad

Principales desafos de seguridad
Aumento de cibercriminales sofisticados Seguridad mvil, autenticacin adaptativa Proteccin de infraestructura crtica Balanceo de comparticin con requerimientos de privacidad. Mano de obra en seguridad ciberntica

Conceptos de redes y seguridad

Riesgos de seguridad
Fast flux botnets Prdida de datos Amenazas internas Cibercrimen organizado Ingeniera social Nuevos virus emergentes Espionaje ciberntico Ataques Vishing

Conceptos de redes y seguridad

Riesgos de seguridad Extorsin ciberntica Redes zombie. Exploits en nueva tecnologa Redes sociales Virtualizacin y cmputo en la nube

Conceptos de Hacking
Efectos de Hacking
Dao y robo de informacin Dao/robo de informacin puede conducir al fraude de identidad o al robo.

Robo de direcciones electrnicas para spamming, robo de passwords para acceso a banca en lnea, a un ISP, a servicios Web, etc.
Los atacantes pueden hacer uso de troyanos, rootkits, virus y gusanos para comprometer sistemas Tambin pueden utilizar PC's como spam zombies o spam bots.

Efectos de hacking en negocios

El robo de informacin personal puede poner en riesgo la reputacin del negocio y ser involucrado en pleitos.

El Hacking puede utilizarse para robar y redistribuir la propiedad intelectual, provocando prdidas para un negocio.

Pueden utilizarse botnets para lanzar varios tipos de DoS y otros ataques basados en Web para tirar un sitio y provocar prdidas significativas de ingresos.

Pero, que es un Hacker?

Personas con excelentes habilidades de cmputo, capaces de crear y explorar el hardaware y software de cmputo Para algunos, es un hobby para ver cuantas computadoras o redes pueden comprometer

Su intencin puede ser obtener conocimiento o husmear para cometer actos ilegales

Algunos hacen hacking con intencin maliciosa

Clases de Hacker
Black Hat White Hat

Suicide Hackers

Gray Hat

Hacktivismo

Accin de promover una agenda poltica de hacking, especialmente desfigurando o deshabilitando sitios Web.

Tiene xito en ambientes donde la informacin es fcilmente accesible.

Intenta enviar mensajes a travs de actividades de hacking y obteniendo visibilidad para su causa. Los objetivos comunes son agencias de gobierno, corporaciones multinacionales, o cualquier otra entidad percibida como mala o equivocada, por estos individuos.

Que hace un Hacker?

Fases de hacking

Reconocimiento Escanear

Obtener acceso

Mantener el acceso

Limpieza de huellas

Fase 1: Reconocimiento

Es una fase preparatoria, donde el atacante busca informacin acerca de un objetivo, antes de atacar. Podra ser el punto de regreso, conocido para facilitar la entrada de un ataque. Reconocimiento de un rango de objetivos, puede incluir a clientes, empleados, operaciones, red y sistemas de una organizacin.

Fase 1: Tipos de reconocimiento

Pasivo
Incluye adquicisin de informacin sin interactuar directamente con el objetivo. Por ejemplo, bsqueda en registros pblicos. Involucra la interaccin directa con el destino por cualquier medio. Por ejemplo, a travs de llamadas telefnicas, por correo eletrnico, etc.

Activo

Fase 2: Escaneo

Fase de preataque
Cuando el atacante escanea la red por informacin especfica, en base a la informacin obtenida durante el reconocimiento.

Escaneador de puertos.

Puede incluir el uso de dialers, escaneadores de puerto, mapeo de red, sweeping, escaneador de vulnerabilidad
Los atacantes extraen informacin tales como nombres de computadoras, direcciones IP, y cuentas de usuario para lanzar ataques.

Extraer informacin.

Fase 3: Obteniendo acceso

Se refiere al punto donde el atacante consigue acceso para el OS, aplicaciones o red. El atacante puede escalar privilegios para tomar el control del sistema. En el proceso, los sistemas intermedios que son conectados a ste, tambin son comprometidos.

Ejemplos: Crackeo de passwords, desborde de buffers, denegacin de servicios, robo de sesiones, etc.

Fase 4: Manteniendo el acceso

Es la fase cuando el atacante trata de retener la propiedad del sistema. El atacante puede evitar que el sistema sea propiedad de otros atacantes, asegurando el acceso exclusivo con backdoors, rootkits o trojans. Pueden subir, descargar, o manipular datos, aplicaciones y configuraciones en el sistema comprometido. Utilizan el sistema para lanzar ms ataques.

Fase 5: Cubriendo las huellas

Se refiere a las tareas realizadas por el atacante para ocultar actos maliciosos. Las intenciones del atacante incluyen: Continuar el acceso al sistema de la vctima, permanecer oculto, eliminar las evidencias que podran conducir a su persecucin. El atacante sobreescribe el servidor, sistema y logs de aplicaciones para evitar sospechas.

Tipos de ataques

Un atacante es capaz de explotar una debilidad o vulnerabilidad en un sistema.

Ataques de OS

Ataques de Aplicacin

Ataques de mala configuracin

Ataques de Contraccin de cdigo

Ataques de OS

Los atacantes buscan Vulnerabilidades en los OS y los explotan para tener acceso al sistema

Algunas vulnerabilidades de OS, son: Desbordamiento de buffers Bugs en los OS no actualizados

Ataques a nivel de aplicacin

Poco o nulo chequeo de errores puede conducir a:

Ataques de desbordamiento de buffers. Cross-site scripting. Ataques de inyeccin de SQL. Phishing Robo de sessiones Modificacin de prametros/forms

Otros ataques de nivel de aplicacin

Ataques de mala configuracin

Si un sistema es mal configurado, tal como un cambio en los permisos de archivo, ya no puede considerarse seguro. Se espera que los administradores cambien la configuracin de los dispositivos antes de que se pongan en produccin. Hacer caso omiso a sto, permite que la configuracin por default se utilice para atacar al sistema. A fin de optimizar la configuracin del equipo, debe eliminarse cualquier servicio o software redundante .

Porqu es necesario el Hacking tico?

Puesto que el hacking imvolucra ideas creativas, las pruebas de vulnerabilidades y auditora de seguridad no pueden asgurar que la red est segura. Para realizar sto, las organizaciones necesitan implementar una estrategia de defensa en profundidad, penetrando en sus redes para estimar vulnerabilidades y descubrirlas. El hacking tico es necesario porque permite contrarrestar los ataques de los hackers maliciosos, a travs de mtodos anticipados que pueden utilizar para romper el sistema.

Defensa en profundidad

Es una estrategia con varias capas de proteccin

Ayuda a evitar ataques directos contra el sistema de Informacin debido a que la divisin en capas slo conduce al atacante a la siguiente capa

Capas de defensa en profundidad

Alcances y limitaciones del Ethical Hacking

Alcances

Es un componente crucial de evaluacin de riesgos, auditora, mejores prcticas, y buen gobierno. Es utilizado para identificar riesgos y resalta las acciones remediales, y tambin reduce los costos de TIC, resolviendo las vulnerabilidades A menos que el negocio sepa que estn buscando y porque estn contratando un vendedor externo para hackear el sistema, no hay muchas oportunidades para tener experiencia. Un ethical hacker slo puede ayudar a entender mejor el sistema de seguridad, pero es la organizacin quin

Limitaciones

Que hacen los Hackers?

Tratan de responder a las siguientes preguntas:

Que puede ver el intruso en el sistema destino?

Que puede hacer el intruso con la informacin? Alguien en el destino nota los intentos o exitos de los intrusos.

Las tareas pueden incluir prueba de sistemas y redes para vulnerabilidades, e intentan accesar datos sensitivos al violar los controles de seguridad.

Habilidades de un Ethical Hacker

Conocimiento amplio sobre plataformas Windows, Linux y Unix. Experiencia en software y hardware relacionado con redes. Alto dominio tcnico de computadoras Experto en reas relacionadas con la seguridad. Experiencia comprobable en lanzamiento de ataques sofisticados.

Investigacin de vulnerabilidades

Proceso de descubrimiento de vulnerabilidades y fallas de diseo que abren un OS y sus aplicaciones para atacar o hacer mal uso. Las vulnerabilidades se clasifican en niveles: bajo, medio o alto, y rango de exploit (local o remoto).

Investigacin de vulnerabilidades

Un administrador de seguridad, debe investigara para:

Identificar y corregir vulnerabilidades de red.

Reunir informacin sobre virus.

Encontrar debilidades y alertar al administrador de red, antes de un ataque de red. Proteger la red de ser atacada por intrusos. Conseguir informacin que ayude a evitar problemas de seguridad. Saber como recuperarse de un ataque de red.

Investigacin de vulnerabilidades

Secure Tracker- www.securitytracker.com TechNet- www.technet.com HackerStorm Vulnerability Database Tools

www.hackerstorm.com

SecurityFocus www.securityfocus.com TechWorld www.techworld.com HackerJournals www.hackerjournals.com

WindowsSecurityBlogs- blogs.windowsecurity.com

Qu es una prueba de penetracin?

Es un mtodo activo para evaluar la seguridad de un sistema o red, simulando un ataque, desde un origen malicioso. La prueba de la caja negra simula un ataque de alguien que no tiene que ver con el sistema, y la prueba de la caja blanca simula un atacante que si conoce el sistema Las medidas de seguridad son activamente analizadas por debilidad de diseo, fallas tcnicas, y vulnerabilidades.

Los resultados se entregan a travs de un reporte a nivel ejecutivo, administracin y tcnico.

Porque pentesting?

Identificar amenazas que enfrentan los activos de una organizacin.

Reducen los costos de TI y Provee un mejor retorno de Inversin en seguridad

Provee una rigurosa y comprensiva Evaluacin de seguridad Organizacional, cubriendo polticas, Procedimientos, diseo e implementacin

Adquiere y mantiene la certificacin Para una regulacin industrial

Porque pentesting?

Adopta mejores prcticas, conforme al aspecto legal y Regulaciones de la industria

Se enfoca en vulnerabilidades severas y enfatiza en problemas de seguridad a nivel de aplicacin

Provee un enfoque Comprensivo de preparacin De pasos a tomar para evitar Una explotacin entrante

Evala la eficiencia de los dispositivos de seguridad de red tales como firewalls, routers, y servidores.

Prueba de penetracin: Metodologa

Recoleccin de Informacin

Anlisis de vulnerabilidades

Pentesting Externo

Pentesting de Red interna

Pentesting de Routers y switches

Pentesting de Firewalls

Prueba de penetracin: Metodologa

IDS Pentesting

Wireless Pentesting

DoS Pentesting

Password Cracking Pentesting

Pentesting de Routers y switches

Ingeniera Social Pentesting

Aplication Pentesting

Prueba de penetracin: Metodologa

IDS Pentesting

Wireless Pentesting

DoS Pentesting

Password Cracking Pentesting

Pentesting de Routers y switches

Ingeniera Social Pentesting

Aplication Pentesting

Prueba de penetracin: Metodologa

Seguridad fsica Pentesting

Database Pentesting

Integridad de archivos Checking

Email Security Pentesting

Parches de Seguridad Pentesting

Resumen

El hackeo tico prepara a las organizaciones para contrarestar los ataques de hackers maliciosos, anticipndose a ciertos ataques a travs de los cuales podrian comprometer el sistema. Un hacker tico ayuda a evaluar la seguridad de un sistema de cmputo o red, simulando ataques de usuarios maliciosos. El hackeo tico es un componente de evaluacin de riesgos, auditora, mejores prcticas y buen gobierno

Security News
Batle against Data Theft

There is misconception that Cyber-criminals select only high worth users and the majority of Internet users underestimate the risk of illegal access to their data

http://ww.itweb.co.za

Footprinting y reconocimiento
Objetivos:

E-mail footprinting Google Hacking Footprinting Tools Contramedidas

Qu es footprinting Objetivos del fooprinting Amenazas de footprinting

Footprinting de Internet
Whois footprinting DNS footprinting

Footprinting Pen Testing

Network footprinting
Website footprinting

Qu es Footprinting ?

Se refiere a descubrir y reunir tanta informacin como sea posible, acerca de una red destino.
Determina el OS utilizado y version de aplicaciones en ejecucin

Reune informacin acerca De un destino y su red

Utiliza Whois, DNS y consultas de red y organizacionales

Encuentra vulnerabilidades y exploits para lanzar ataques

Objetivos de footprinting

Nombres de dominio
Nombres de dominio interno Bloques de redes Direcciones IP de los sistemas alcanzables Sitios falsos/Sitios privados Servicios TCP y UDP en ejecucin

Objetivos de footprinting
Informacin del Sistema

Grupos y usuarios Banners de sistema Arquitectura del sistema

Detalles de empleados Sitio Web de la organizacin Directorio de la empresa

Amenazas de footprinting

Prdida del negocio

Ingeniera social

Espionaje corporativo

Ataques de red y sistemas

Prdida de privacidad

Fuga de informacin

Internet footprinting

Uso de buscadores Herramientas para buscar URLs internos

http://news.netcraft.com
http://www.webmaster-a.com/link-extractor-internal.php

Identifica sitios pblicos y privados Uso de GoogleEarth

Internet footprinting

Bsquedas a travs de Whois

Los Registros de Internet Regionales (RIR), mantienen bases de datos que contienen informacin personal de los propietarios de dominios. RIRs: AfriNIC, ARIN, APNIC, RIPE, LACNIC

Herramientas:

http://www.tamos.com http://netcraft.com http://www.whois.com http://www.domaintools.com

DNS footprinting

Extrayendo informacin de DNS

Los registros de DNS proveen informacin importante sobre la localizacin y tipo de servidores. A Apunta a una direccin de host MX Apunta al servidor de correo de un dominio SOA Indica la autoridad del dominio http://www.dnsstuff.com

Herramientas de consulta DNS

http://www.checkdns.net
http://network-tools.com

Network footprinting

Localiza el rango de red

Utiliza la base de datos Whois de ARIN para obtener el rango de direcciones IP asignadas.

Traceroute utiliza ICMP para descubrir los routers que se atraviezan hasta llegar al host destino.

Herramientas traceroute

3D Traceroute LoriotPro

Path Analizer Pro

VisualRoute Trace

Website footprinting

Espejeando un sitio Web completo

Herramientas de este tipo permiten descargar un sitio Web a un directorio local, construyendo recursivamente directorios, imagenes, flash, videos y otros archivos.

Reamweaver.com
http://www.archive.org

Para recuperar informacin histrica de sitios Web

Monitoreo de actualizaciones Web, utilizando Website Watcher.

Email footprinting

Registro de comunicaciones Email

Es un mtodo para monitorear y espiar e-mails entregados a los recipientes previstos. Cuando el email fu recibido y ledo Enva emails destructivos Localizacin GPS y mapeo del recipiente Tiempo usado en la lectura de correos Registra PDF y otro tipo de adjuntos

Configura mensajes para expirar despus de una fecha.

Herramientas para rastrear Email

http://Www.emailtrackerpro.com http://visualroute.visualware.com http://www.oreware.com http://www.visualiptrace.com

Footprinting utilizando tcnicas de Google Hacking

Cadena de consulta
Se refiere al arte de crear consultas de bsqueda complejas. Detecta sitios Web que son vulnerables a numeroso exploits Utiliza operadores para localizar cadenas especficas dentro de resultados de bsqueda.

Sitios vulnerables

Operadores Google

Que puede hacer un Hacker con Google Hacking

Alertas y vulnerabilidades De servidor Mensajes de error que Contienen informacin sensitiva

Pginas con vulnerabilidades de red o de datos

Archivos o pginas con passwords

Pginas con Portales de logon

Directorios sensitivos

Google: Operadores de bsqueda avanzada

link:

Lista pginas que tienen enlaces a una pgina especfica Enlaza pginas que son similares a una pagina especifica Presentar alguna informacin que Google tenga acerca de una pgina Restringe los resultados a documentos conteniendo esta palabra en el ttulo. Google restringe los resultados a documentos con la palabra en la url

related: info:

Intitle:
Inurl:

Herramientas de Google Hacking

http://www.edge-security.com
http://ghh.sourceforge.net http://code.google.com

Contramedidas de footprinting

Configurar los routers para restringir las respuestas a las peticiones de footprinting. Configurar los WebServer para evitar fuga de informacin y deshabilitar protocolos no deseados. Cerrar los puertos no utilizados, a travs del firewall Utilizar un IDS que pueda configurarse para rechazar trfico sospechoso, y mejorar los patrones de footprinting. Evaluar la informacin antes d publicarla en el sitio.

Aplicar tcnicas de footprinting y eliminar cualquier informacin sensitiva.

Evitar ingenios de bsqueda de cachar una pgina y uso de servicios de registro annio.

Footprinting Pen Testing

Se utiliza para determinar la informacin disponible pblicamente de una organizacin, tales como arquitectura de red, OS, aplicaciones y usuarios El probador intenta recolectar tanta informacin como sea posible acerca de la organizacin destino, desde Internet.

Footprinting Pen Testing

Evita fuga de informacin

Pen Testing ayuda al Administrador a

Evita recuperacin de registros DNS desde Servidores pblicos

Evita intentos de ingeniera social

Footprinting Pen Testing

Footpring Pen Testing

Resmen

Footprinting es descubrir y reunir tanta informacin como sea posible acerca de un objetivo de ataque.

Las bases de datos Whois son mantenidas por los RIRs, y contienen informacin personal de los propietarios de los dominios.
Los registros DNS proveen de informacin importante sobre ubicacin y tipo de servidores. Se puede establecer comunicacin por email con la empresa objetivo, y rastrear los emails para extraer informacin, tal como ubicacin del buzn y mailserver

Reunir inteligencia competitiva es el proceso de reunir informacin de los competidores.

Laboratorios

Laboratorio 1. Footprinting a una red destino. Laboratorio 2. Resolucin de problemas bsicos de red, utilizando ping. Laboratorio 3. Resolucin de problemas bsicos de red, utilizando nslookup. Laboratorio 4. Traza rutas de red utilizando VisualRoute. Analisis de consultas de dominios y direcciones IP, utilizando SmartWhois.

Contacto:
M.C. Flix Molina ngel Universidad Autnoma de Guerrero molina@uagro.mx