Seguridad Informtica para Administradores de Redes y Servidores

Septiembre 2008 Lic. Toms Heredia

Temario
Introduccin. Criptografa y Control de Accesos. Amenazas. Deteccin, Prevencin y defensa de ataques. Aseguramiento de servicios Gerenciamiento de la seguridad

Introduccin

El ordenador naci para resolver problemas que antes no existan Bill Gates

Introduccin

Que queremos proteger?

Activos Tangibles
Hardware, Software?

Intangibles
Datos, Secretos, Reputacin

Introduccin

Que tenemos que proteger?

Responsabilidad Anlisis de riesgo

Responsabilidad

Propietario de los activos: Responsable de los mismos Sistemas: Brinda servicios

Anlisis de riesgo
Qu proteger? Cunto proteger?

P(e) * C(e)

=R

0.01 * $100.000 = $1.000 1 * $10.000 = $10.000

Qu queremos proteger?

Otros valores Status Publicidad

Criptografa

Criptografa Simtrica

K: clave compartida

DK(M)

CK(M)

Criptografa Simtrica
DES
ANSI: DEA ISO: DEA-1 IBM (1975) para NBS (hoy NIST) Modificado por NSA (56 bits en lugar de 128)

3DES (168 bits) IDEA (Patentado) AES (ex Rijndael) RC2, RC4, RC5 (Rivest)

Criptografa Asimtrica KS: clave secreta (privada) KP: clave pblica

A B

DKS(M) CKS(M)

Cifrado Firmado

CKP(M) DKP(M)

-----BEGIN PGP SIGNED MESSAGE----Hash: SHA1

Este texto est firmado

-----BEGIN PGP SIGNATURE----Version: GnuPG v1.4.1 (MingW32) - GPGshell v3.44

iD8DBQFDcOVDQpaggpM+TpcRAo12AJwKnY5xg9GSctsy/FvRTnw6/JgZqgCgg9D6 pOmOL5XDDMNftKQNc4t3vAo= =crak -----END PGP SIGNATURE-----

Criptografa Asimtrica

RSA Rivest Shamir y Adleman ElGammal (DSA) Diffie- Hellman

RSA
Algoritmo creado en 1977 por Ron Rivest, Adi Shamir y Len Adleman del MIT. Puede ser usado para cifrado y firma de mensajes. Se basa en el problema de la factorizacin de nmeros muy grandes.

Diffie-Hellman
Permite acordar una clave privada entre dos desconocidos. La seguridad del algoritmo se basa en el problema del logaritmo discreto. No proporciona autenticacin, y es pasible de ataques del tipo Man-in-the-Middle

Modos de cifrado

Modos de Cifrado

Modos de cifrado

Modos de Cifrado

Modos de Cifrado

ECB CBC, PCBC, CFB, OFB, CTR IACBC, IAPM, OCB, EAX, CWC, CCM, GCM

Elliptic Curve Cryptography

Sugerido por Koblitz y Miller en 1985 El espacio de claves se define en el espacio definido por una curva elptica DSA 1024 Bits comparable a ECDSA 160 bits

Digesto

D(M) = H Obtener H dado M: FCIL Obtener M dado H: IMPOSIBLE Cada H correspondo a muchos M

Mensajes Hashes

#<N

#=N

Digesto: Colisiones
Colisin: D(M) = D(M) Encontrar M y M tal que D(M) = D(M) Dado M encontrar M tal que D(M) = D(M)

Firma
Vale la pena firmar 1Gb de informacin?

Firma = Sign ( Hash ( MSG ) )

Certificados
Certificado Certificado Certificado Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Certificado

Algoritmos seguros
Cifrado:
?3DES, AES-256 AES-512 RSA / DSA (>1024), ECDSA(>160)

Firma: RSA / DSA + ?MD5 / SHA-1 Hash: ?SHA-1, SHA-256+, RIPEMD-128+

Control de Acceso

Control de Acceso Proteger recursos de uso no autorizado Permisos User Obj. Perm. Autenticacin
Tomas Juan Pedro Secret.txt Secret.txt Public.txt R RW M

Control de Acceso
Unix:
Login Permisos del Filesystem (rwx) Servicios
/etc/hosts.allow

Windows
Logon ACLs de Fileystem

Autenticacin
Propiedades:
Tiene Sabe Es

Mtodos:
Passwords Passphrases One Time Passwords Certificados Dispositivos Biometra

Autenticacin
Passwords Contrasea? P: SeCrEtO A ver OK!

A: H1 B: H2 C: H3 A B

Hash(P)=H1

Autenticacin
Certificados: Por favor, firmame este dato. Como no! Aqu est! A ver OK!

M
Chalenge

Certificado

K=Sign(C)

Verify(K)

Autenticacin
Digesto: Por favor, ciframe este dato. Como no! Aqu est! A verOK!

M
Chalenge

XXXXX XXXXXX XXXXX

X=H(P.M)

H(P.M)=X

Paswwords: Hash

tomas:eBVpbsvxyW5olLd5RW0zDg (asd) pedro:eBVpbsvxyW5olLd5RW0zDg

tomas:$1$PB6u7m2rgMEk6JMeJ7DV8A (asd) pedro:$2$UOoGoRW1SexgAIZYFPR2pQ

Passwords

Largos Difciles No utilizar cleartext Recordables NO USAR LM!

LanManager
Convierte a maysculas. Charset: ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456 789 %!@\#$%^&*()_-=+~[]\{}|\:;"<>,.?/ 2 bloques de 7 caracteres, pad con NULL. DES sin salt. Clave: KGS!@#$% Resultado: hash de 16 bytes

LanManager
NTLM: igual NTLMv2
Desde NT4 sp4 Charset extendido MD4, sin salt. Hasta 128 caracteres, long. variable.

Recomendado: Kerberos Deshabilitar LM y NTLM!

Amenazas

Amenazas
Internas
Ignorancia Desidia Malicia

Externas Ayer: 80-20 Hoy: 50-50? 30-70? 1-99? Internas mucho ms costosas!!!!

Amenazas externas
Ataques generales Ataques dirigidos Disponibilidad: DOS / DDOS Integridad: Defacement

Amenazas externas
Ataques generales Ataques dirigidos Disponibilidad: DOS / DDOS Integridad: Defacement Confidencialidad: Evesdropping

Amenazas en etapas

Diseo Implementacin Operacin

Amenazas: herramientas y exploits

Reconocimiento: Port scanning, OS Fingerprint Exploits:
Buffer overflow Stack overflow Race conditions Escalada de privilegios Pobre verificacin de identidad

Prevencin y defensa de ataques

Disminucin de vulnerabilidades Defensa de ataques Reducir el valor de los activos

Prevencin y defensa de ataques Mltiples capas

Permetro Red Software Usuarios

Prevencin y defensa de ataques

Internet
Permetro

Prevencin y defensa de ataques Red

Diseo (Topologa) Switches / Vlans Filtrado de paquetes

Prevencin y defensa de ataques Software

Actualizacin Configuracin
Configuraciones por defecto Servicios no utilizados Hardening

Prevencin y defensa de ataques Usuarios

Capacitacin Concientizacin Buenas costumbres
Escritorios limpios Passwords fuertes

Forzar algunas buenas costumbres

Cambio de passwords

Polticas

Herramientas

Herramientas
Anlisis de Vulnerabilidades
Nmap, Nessus y nikto MBSA War Dialing
Modems (http://www.thc.org) Wireless (War Driving) (http://stumbler.net)

IRT Anlisis Forense

IRTs
Incident Response Team CSIRT Computer Security IRT CERT: Computer Emergency Response Team (http://www.cert.org) ArCERT

Anlisis Forense
Anlisis Post-Mortem de un ataque Off-line vs. On-line Interno o externo Herramientas
Anlisis de archivos modificados Lnea de tiempo Scanners

Anlisis Forense
Online
Conexiones RAM Hibernar?

Offline
Integridad Shutdown?

Forensics
Autopsy Forensic Browser The Sleuth Kit http://www.sleuthkit.org

Forensics: Autopsy

Forensics
Helix
http://www.e-fense.com/helix/ Basado en Knoppix

Herramientas de anlisis Pyflag

http://www.pyflag.net
Australian Department of Defence

Utiliza sleuthkit Anlisis de logs Varios procesadores

Anlisis de FS Lneas de tiempo Archivos borrados Espacio libre Red Logs

Herramientas de anlisis
PTK Frontend para TSK (y otras) Motor de indizacion TimeLine Bsqueda de Cadenas Bookmarks

Herramientas
EnCase Forensic Edition
Comercial
http://www.guidancesoftware.com/products/ef_index.asp

Anlisis Multiplataforma EWF Standard de-facto en EE.UU

Herramientas de recoleccin Windows

The Forensic Toolkit
Windows http://www.foundstone.com Es Open Source No es de libre disponibilidad

Herramientas de recoleccin Windows

Windows Forensic Toolches (WFT) http://www.foolmoon.net/security/wft/ Destino: slo carpetas (puede ser SMB) Configurable / modificable

Herramientas de recoleccin Windows Forensic Server Project (FSP)

Permite recolectar informacin en vivo de sistemas Windows. Del libro Windows Forensics and Incident Recovery Actualmente sin mantenimiento FSP para la WS del investigador, FRU para correr en el equipo analizado (includo en Helix)
http://www.starfriends.info/fsp.html http://www.informit.com/articles/article.aspx?p=349043

Herramientas: Caractersticas deseables Tratamiento forense de la evidencia (forensic sound) Correlacin entre fuentes Bitcora de eventos (descubiertos)

Que funcione siempre

Deteccin de Ataques

Deteccin de Ataques

Logs y Auditora IDS Netflows Honeypots

Logs y Auditora
Qu datos? Logs de auditora Logs de transacciones Logs de intrusiones Logs de conexiones Registros de performance de sistema Actividad de usuarios Alertas varias De dnde? Firewalls/IPS Routers/switches IDS Hosts Aplicaciones de negocio Servidores de red Anti-Virus VPNs

Logs y Auditora
Analisis de Logs
Logcheck Swatch Ossec Firewalls

Auditora
Tripwire Aide Audit

IDS Anlogo a otras reas

Evento sospechoso Alerta

NIDS HIDS Patrones, Estadsticas, Heursticas.

IDS
Problemas comunes: Falsos Positivos Falsas Alarmas
Plataforma diferente Objetivo no vulnerable Objetivo no alcanzado

Bajo impacto Falsos negativos

IDS: Snort Snort Base Snortcenter Oinkmaster

http://www.snort.org/

http://base.secureideas.net/

http://users.pandora.be/larc/

http://oinkmaster.sourceforge.net/

IDS: Prelude Prelude-IDS

http://www.prelude-ids.org Utiliza Snort Arquitectura sensor-manager-DB Escalable

OSSIM
Open Source Security Information Management Arpwatch, P0f, Pads, Nessus, Snort, Spade, Tcptrack, Ntop, Nagios. Osiris

Flows
Netflow
Desarrollado por CISCO Protocolo abierto, propietario Varios front-ends

NFSen: http://nfsen.sourceforge.net

Flows
sFlow
Captura de trfico (parcial) Estadsticas de trfico Varios front-ends

Flows
NTOP
Acta como sniffer Recibe protocolos netflow y sFlow

NTOP

Honeypots
Honeyd http://www.honeyd.org Por definicin, todo el trfico recibido es malicioso
Cuidado con el IP Spoofing!

Permite simular hosts con diversos servicios y redes complejas.

Servicios

Security, like correctness, is not an add-on feature. Andrew S. Tanenbaum

Servicios
Para TODOS los servicios y servidores :
Deshabilitar los servicios innecesarios. Mantener los sistemas actualizados (pero dentro de versiones estables). Bloquear posibles accesos en todos los puntos posibles. No confiar:
Utilizar autenticacin fuerte Revisar lo que hicieron otros Comprender el sistema

Servicios de red
Mail Web Proxy Webmail DNS SNMP NTP Archivos e Impresin Bases de datos VoIP

Mail Protocolos
SMTP, POP3, IMAP4

Exchange, Exim, Sendmail Recomendados:

Qmail Postfix

Mail
Bugs actualizaciones Problemas viejos: expn/verify, debug Cambiar Banner Filtrar headers

Return-Path: <xxx@xxx.com.ar> Delivered-To: theredia@arcert.gov.ar Received: from unknown (HELO me) (200.x.x.x) by mail.arcert.gov.ar with SMTP; 29 Oct 2004 14:00:16 -0000 Received: from chatarra.xxx.com.ar ([127.0.0.1]) by localhost (chatarra [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 28182-02 for <theredia@arcert.gov.ar> Received: from of123c (of123_1-T_Heredia.xxx.com.ar [10.1.1.51]) by chatarra.xxx.com.ar (Postfix) with SMTP id C2AA5204F6A for <theredia@arcert.gov.ar> From: "Fernando X" <xxx@xxx.com.ar> To: "Tomas Heredia" <theredia@arcert.gov.ar> Subject: Re: Un favor!

Mail
Bugs actualizaciones Problemas viejos: expn/verify, debug Cambiar Banner Filtrar headers Autenticacin segura Cifrado

Open Relay

Open Relay

Open Relay
Usado por spammers Diversas formas
usuario@dominio.remoto usuario@remoto@local usuario@remoto@local local!usuario@remoto

ORDB http://www.ordb.org

Open Relay

??? TO: local.com SMTP Auth

relay

mail.local.com

World Wide Web Servicio de transferencia de hipertexto HTTP Servidores Ms conocidos:

Apache IIS

Apache
Modular problemas modulares
PHP OpenSSL

Principal Problema:

APLICACIONES

IIS
HTTP, FTP, SMTP, NNTP. Instalacin con lockdown. Para tener en cuenta:
Updates URLScan (IIS5) Application pools + lockdown

http://www.microsoft.com/technet/security/prodtec h/iis/default.mspx

Webmail

Problemas de Web Problemas de Mail Open Relay

Proxy
Ms conocidos:
Squid ISA Server

Problemas comunes:
Autenticacin Filtrado Relay

DNS
Domain Name System Bind MS DNS DJBDNS
Dan J. Bernstein, autor del Qmail Muy simple Muy seguro Separa resolver de DNS

MaraDNS

DNS

? e .com NS d m ns.co

Root-server

IP de www .sitio.co m ?

NS de sitio.co m? ns.sitio.com

ns.com

local.com

200.1.1.33 200.1.1.33

IP d ew ww . s it io . c 200 om .1.1 ? .33

ns.sitio.com 200.1.1.33

DNS

resolver

ns.local.com

DNS

AXFR ns1.local.com DNSSEC SSH ns2.local.com

DNS
No permitir consultas recursivas Retacear informacin
No permitir transferencia de dominio Cuidar los nombres de los hosts.

Actualizaciones (Especialmente Bind)

Registro de nombres
En Argentina: Cancillera http://www.nic.ar En muchos lugares: desregulado. Elegir uno que:
Brinde suficiente respaldo Opciones de seguridad
Autenticacin

SNMP
Simple Network Management Protocol Versiones v1, v2 y v3 Slo v3 sirve en un ambiente no asegurado SNMPv2c es el ms utilizado

SNMP

GET var; c:secret MGR

; ar v T GE t re ec c:s

UA

Ahhh! secret

SNMP

SET var; c:secret MGR

t re ec c:s

UA

; ar v T SRC IP = MGR SE

Ahhh! secret

SNMP
v1: RO Configuracin por defecto Red segura Cifrado SNMPv3

NTP
Network Time Protocol http://www.ntp.org Asegurar: Autenticacin fuerte Configurar filtrado de paquetes

Stratum 1 Stratum 2

Stratum N

Bases de datos
Ms utilizadas
SQL Server MySQL Postgersql Oracle / DB2

En general
Passwords por defecto Restriccin de acceso remoto Bases de ejemplo

DBA

VoIP
Confidencialidad Integridad ABUSO AUTH IPSec VPN ZRTP

Equipamiento de red

Equipamiento de red

Hubs Switches Routers Otros equipos

VLANS
VLANs
Leaks de paquetes Flood de paquetes Tagging

Equipamiento de red
Instalacin:
Configuracin Aseguramiento de administracin remota Conexin a la red

Administracin remota:
Passwords por defecto Desactivar / filtrar interfaces no necesarias Red administrativa

Equipamiento de red
Asegurar:
Protocolos de administracin: SNMP, RMON Acceso al equipo: telnet, ssh, http Protocolos de ruteo Direcciones no vlidas Direcciones del equipo

Equipamiento de red
WLAN
IEEE 802.11 WEP (Wired Equivalent Privacy) WPA / WPA2
Wi-Fi Protected Access IEEE 802.11i PSK / EAP

Tips

Tips de configuracin de servidores Instalar solo lo necesario

Borrar o deshabilitar TODO lo dems

Mantener el sistema al da Borrar o deshabilitar usuarios innecesarios

No utilizar shell por defecto

Permitir acceso a los servicios solo si es necesario Utilizar un sandbox para los servicios pblicos

Tips
Utilizar suid solo si es necesario. Si hay varios administradores, delegar funciones. No utilizar todos el usuario administrador. Utilizar Logs. Utilizar filtrado de paquetes adems del firewall. Realizar verificaciones de seguridad

Tips
Dividir funciones. El firewall es un firewall, no un servidor ms. Comprender y utilizar las facilidades que nos brinda el SO. Documentar. Desarrollo separado de produccin

Las 6 ideas ms tontas en seguridad informtica

Marcus Ranum

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Permitir por defecto

Primeros Firewalls Ejecucin Denegar por defecto

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Enumeracin de amenazas
Antivirus Ignoracia Artificial Sntoma: actualizaciones permantenes

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Pentest & patch

= Prueba y error Si no est diseado para ser hackeado, no debera ser hackeado Si P&P fuese efectivo Sntoma: Bug de la semana

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Hacking is cool
Promblema Social Est cambiando:
SPAM, SCAMS, PHISH

Conocer al enemigo?

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Educar a los usuarios

Ejecutables en emails = permitir por defecto Recursos exagerados

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Actuar es mejor que nada

Early adopting? Tecnologa estable Cmo obtener crdito por no hacer algo?

Las 6 ideas ms tontas en seguridad informtica

(Marc Ranum)

Permitir por defecto Enumeracin de amenazas Pentest & patch Hacking is cool Educar a los usuarios Actuar es mejor que nada

Otras ideas
(Marc Ranum)

No somos un objetivo Todo sera mas seguro si todo el mundo utilizase [SOsuperseguro-del-da] No necesitamos un firewall, tenemos buena seguridad en los hosts No necesitamos seguridad en los hosts, tenemos un buen firewall Pongmoslo en produccin, y luego lo aseguramos. No podemos hacer nada ante las eventualidades

Polticas

Polticas de seguridad Informtica Son la orientacin con respecto a la seguridad informtica. Necesitan ser reglamentadas: Normas y/o Procedimientos. IRAM-ISO 17799 Objetivo: Formalizar procedimientos actuales. http://www.arcert.gov.ar/politica

Gerenciamiento
Qu hacer si no hay poltica de seguridad interna? Como obtener presupuesto para seguridad?
Evaluacin de Riesgo ROI Concientizacin

Guardar Pruebas

Temas legales y ticos tica

Informacin personal Informacin privilegiada

Delito informtico (Ley 26.388) Proteccin de Datos Personales (Ley 25.326)

medidas tcnicas y organizativas () para garantizar la seguridad y confidencialidad de los datos personales

Firma Digital (Ley 25.506)

Ley de Delito Informtico

Equipara comunicaciones electrnicas con telecomunicaciones y comunicacin epistolar. Pena el acceso ilegtimo a datos o sistemas. Pena la defraudacin mediante medios electrnicos. Se pena el dao a datos o sistemas Se incluye tambin comercializacin o distribucin de cualquier programa destinado a causar daos () en datos, documentos o sistemas informticos

Ley de Delito Informtico

Se define la falsificacin de documentos electrnicos. Extiende la proteccin a la infancia.

Sitios sobre Seguridad

http://www.arcert.gob.ar http://www.securityfocus.com http://www.linuxsecurity.com http://www.microsoft.com/technet/security http://www.cert.org http://cve.mitre.org http://osvdb.org

Bibliografa
Bauer, Michael D., Building Secure Servers with Linux, ISBN: 0-596-00217-3, OReilly and Associates, 2002 Schneier, Bruce, Applied Criptography, John Wiley & Sons, Inc. Scambray, Joel and Shema, Mike, Hacking Exposed Web Applications, McGraw-Hill/Osborne Gragg, Roberta, Hardening Windows Systems, ISBN:0072-25354-1, McGraw-Hill/Osborne, 2004

Muchas Gracias

Lic. Toms Heredia theredia@arcert.gob.ar http://www.arcert.gob.ar

Anexo: stack TCP/IP

7-Aplicacin 6-Presentacin 5-Sesin 4-Transporte 3-Red 2-Enlace de datos 1-Fsico

Telnet

FTP TCP

otros

SNMP UDP

otros

IP PPP ethernet EIA-TIA 232 otros

Anexo: Direccionamiento IP
IP: 192.168.1.22 192 168 1 22

11000000 10101000 000000 01 00100001

Mscara: 255.255.252.0 255 255 252 0

11111111 11111111 111111 00 00000000

addr: 192.168.1.22 / 22 red: 192.168.0.0/22

Anexo: Paquete IP

1 0 8 6

2 4

3 1

IHL Id TTL

ToS
Flags X DF M

Length Fragment offset Header checksum

Protocol

Source IP address Dest IP address Options DATA

Anexo: Paquete TCP

1 0 8 6 2 4 3 1

Source Port Sequence Number

Dest Port

Acknowledgment Number
Flags

Data Offset

Reserved

U R G

A C K

P S H

R S T

S Y N

F I N

Window Urgent Pointer Padding

Checksum Options DATA

Anexo: Three way handshake

Anexo: Ports http://www.iana.org/assignments/port-numbers

ftp-data ftp ssh telnet smtp domain domain http pop3 https 20/tcp 21/tcp 22/tcp 23/tcp 25/tcp 53/tcp 53/udp 80/tcp 110/tcp 443/tcp

Anexo: Ips Reservados http://www.ietf.org/rfc/rfc1918.txt

10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 http://www.iana.org/assignments/ipv4-address-space ://