Documente Academic
Documente Profesional
Documente Cultură
Temario
Introduccin. Criptografa y Control de Accesos. Amenazas. Deteccin, Prevencin y defensa de ataques. Aseguramiento de servicios Gerenciamiento de la seguridad
Introduccin
El ordenador naci para resolver problemas que antes no existan Bill Gates
Introduccin
Intangibles
Datos, Secretos, Reputacin
Introduccin
Responsabilidad
Anlisis de riesgo
Qu proteger? Cunto proteger?
P(e) * C(e)
=R
Qu queremos proteger?
Criptografa
Criptografa Simtrica
K: clave compartida
DK(M)
CK(M)
Criptografa Simtrica
DES
ANSI: DEA ISO: DEA-1 IBM (1975) para NBS (hoy NIST) Modificado por NSA (56 bits en lugar de 128)
3DES (168 bits) IDEA (Patentado) AES (ex Rijndael) RC2, RC4, RC5 (Rivest)
DKS(M) CKS(M)
Cifrado Firmado
CKP(M) DKP(M)
Criptografa Asimtrica
RSA
Algoritmo creado en 1977 por Ron Rivest, Adi Shamir y Len Adleman del MIT. Puede ser usado para cifrado y firma de mensajes. Se basa en el problema de la factorizacin de nmeros muy grandes.
Diffie-Hellman
Permite acordar una clave privada entre dos desconocidos. La seguridad del algoritmo se basa en el problema del logaritmo discreto. No proporciona autenticacin, y es pasible de ataques del tipo Man-in-the-Middle
Modos de cifrado
Modos de Cifrado
Modos de cifrado
Modos de Cifrado
Modos de Cifrado
ECB CBC, PCBC, CFB, OFB, CTR IACBC, IAPM, OCB, EAX, CWC, CCM, GCM
Digesto
D(M) = H Obtener H dado M: FCIL Obtener M dado H: IMPOSIBLE Cada H correspondo a muchos M
Mensajes Hashes
#<N
#=N
Digesto: Colisiones
Colisin: D(M) = D(M) Encontrar M y M tal que D(M) = D(M) Dado M encontrar M tal que D(M) = D(M)
Firma
Vale la pena firmar 1Gb de informacin?
Certificados
Certificado Certificado Certificado Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Certificado
Algoritmos seguros
Cifrado:
?3DES, AES-256 AES-512 RSA / DSA (>1024), ECDSA(>160)
Control de Acceso
Control de Acceso Proteger recursos de uso no autorizado Permisos User Obj. Perm. Autenticacin
Tomas Juan Pedro Secret.txt Secret.txt Public.txt R RW M
Control de Acceso
Unix:
Login Permisos del Filesystem (rwx) Servicios
/etc/hosts.allow
Windows
Logon ACLs de Fileystem
Autenticacin
Propiedades:
Tiene Sabe Es
Mtodos:
Passwords Passphrases One Time Passwords Certificados Dispositivos Biometra
Autenticacin
Passwords Contrasea? P: SeCrEtO A ver OK!
A: H1 B: H2 C: H3 A B
Hash(P)=H1
Autenticacin
Certificados: Por favor, firmame este dato. Como no! Aqu est! A ver OK!
M
Chalenge
Certificado
K=Sign(C)
Verify(K)
Autenticacin
Digesto: Por favor, ciframe este dato. Como no! Aqu est! A verOK!
M
Chalenge
X=H(P.M)
H(P.M)=X
Paswwords: Hash
Passwords
LanManager
Convierte a maysculas. Charset: ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456 789 %!@\#$%^&*()_-=+~[]\{}|\:;"<>,.?/ 2 bloques de 7 caracteres, pad con NULL. DES sin salt. Clave: KGS!@#$% Resultado: hash de 16 bytes
LanManager
NTLM: igual NTLMv2
Desde NT4 sp4 Charset extendido MD4, sin salt. Hasta 128 caracteres, long. variable.
Amenazas
Amenazas
Internas
Ignorancia Desidia Malicia
Externas Ayer: 80-20 Hoy: 50-50? 30-70? 1-99? Internas mucho ms costosas!!!!
Amenazas externas
Ataques generales Ataques dirigidos Disponibilidad: DOS / DDOS Integridad: Defacement
Amenazas externas
Ataques generales Ataques dirigidos Disponibilidad: DOS / DDOS Integridad: Defacement Confidencialidad: Evesdropping
Amenazas en etapas
Internet
Permetro
Polticas
Herramientas
Herramientas
Anlisis de Vulnerabilidades
Nmap, Nessus y nikto MBSA War Dialing
Modems (http://www.thc.org) Wireless (War Driving) (http://stumbler.net)
IRTs
Incident Response Team CSIRT Computer Security IRT CERT: Computer Emergency Response Team (http://www.cert.org) ArCERT
Anlisis Forense
Anlisis Post-Mortem de un ataque Off-line vs. On-line Interno o externo Herramientas
Anlisis de archivos modificados Lnea de tiempo Scanners
Anlisis Forense
Online
Conexiones RAM Hibernar?
Offline
Integridad Shutdown?
Forensics
Autopsy Forensic Browser The Sleuth Kit http://www.sleuthkit.org
Forensics: Autopsy
Forensics
Helix
http://www.e-fense.com/helix/ Basado en Knoppix
Herramientas de anlisis
PTK Frontend para TSK (y otras) Motor de indizacion TimeLine Bsqueda de Cadenas Bookmarks
Herramientas
EnCase Forensic Edition
Comercial
http://www.guidancesoftware.com/products/ef_index.asp
Herramientas: Caractersticas deseables Tratamiento forense de la evidencia (forensic sound) Correlacin entre fuentes Bitcora de eventos (descubiertos)
Deteccin de Ataques
Deteccin de Ataques
Logs y Auditora
Qu datos? Logs de auditora Logs de transacciones Logs de intrusiones Logs de conexiones Registros de performance de sistema Actividad de usuarios Alertas varias De dnde? Firewalls/IPS Routers/switches IDS Hosts Aplicaciones de negocio Servidores de red Anti-Virus VPNs
Logs y Auditora
Analisis de Logs
Logcheck Swatch Ossec Firewalls
Auditora
Tripwire Aide Audit
IDS
Problemas comunes: Falsos Positivos Falsas Alarmas
Plataforma diferente Objetivo no vulnerable Objetivo no alcanzado
http://www.snort.org/
http://base.secureideas.net/
http://users.pandora.be/larc/
http://oinkmaster.sourceforge.net/
OSSIM
Open Source Security Information Management Arpwatch, P0f, Pads, Nessus, Snort, Spade, Tcptrack, Ntop, Nagios. Osiris
Flows
Netflow
Desarrollado por CISCO Protocolo abierto, propietario Varios front-ends
NFSen: http://nfsen.sourceforge.net
Flows
sFlow
Captura de trfico (parcial) Estadsticas de trfico Varios front-ends
Flows
NTOP
Acta como sniffer Recibe protocolos netflow y sFlow
NTOP
Honeypots
Honeyd http://www.honeyd.org Por definicin, todo el trfico recibido es malicioso
Cuidado con el IP Spoofing!
Servicios
Servicios
Para TODOS los servicios y servidores :
Deshabilitar los servicios innecesarios. Mantener los sistemas actualizados (pero dentro de versiones estables). Bloquear posibles accesos en todos los puntos posibles. No confiar:
Utilizar autenticacin fuerte Revisar lo que hicieron otros Comprender el sistema
Servicios de red
Mail Web Proxy Webmail DNS SNMP NTP Archivos e Impresin Bases de datos VoIP
Mail Protocolos
SMTP, POP3, IMAP4
Mail
Bugs actualizaciones Problemas viejos: expn/verify, debug Cambiar Banner Filtrar headers
Return-Path: <xxx@xxx.com.ar> Delivered-To: theredia@arcert.gov.ar Received: from unknown (HELO me) (200.x.x.x) by mail.arcert.gov.ar with SMTP; 29 Oct 2004 14:00:16 -0000 Received: from chatarra.xxx.com.ar ([127.0.0.1]) by localhost (chatarra [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 28182-02 for <theredia@arcert.gov.ar> Received: from of123c (of123_1-T_Heredia.xxx.com.ar [10.1.1.51]) by chatarra.xxx.com.ar (Postfix) with SMTP id C2AA5204F6A for <theredia@arcert.gov.ar> From: "Fernando X" <xxx@xxx.com.ar> To: "Tomas Heredia" <theredia@arcert.gov.ar> Subject: Re: Un favor!
Mail
Bugs actualizaciones Problemas viejos: expn/verify, debug Cambiar Banner Filtrar headers Autenticacin segura Cifrado
Open Relay
Open Relay
Open Relay
Usado por spammers Diversas formas
usuario@dominio.remoto usuario@remoto@local usuario@remoto@local local!usuario@remoto
ORDB http://www.ordb.org
Open Relay
relay
mail.local.com
Apache
Modular problemas modulares
PHP OpenSSL
Principal Problema:
APLICACIONES
IIS
HTTP, FTP, SMTP, NNTP. Instalacin con lockdown. Para tener en cuenta:
Updates URLScan (IIS5) Application pools + lockdown
http://www.microsoft.com/technet/security/prodtec h/iis/default.mspx
Webmail
Proxy
Ms conocidos:
Squid ISA Server
Problemas comunes:
Autenticacin Filtrado Relay
DNS
Domain Name System Bind MS DNS DJBDNS
Dan J. Bernstein, autor del Qmail Muy simple Muy seguro Separa resolver de DNS
MaraDNS
DNS
? e .com NS d m ns.co
Root-server
IP de www .sitio.co m ?
NS de sitio.co m? ns.sitio.com
ns.com
local.com
200.1.1.33 200.1.1.33
ns.sitio.com 200.1.1.33
DNS
resolver
ns.local.com
DNS
DNS
No permitir consultas recursivas Retacear informacin
No permitir transferencia de dominio Cuidar los nombres de los hosts.
Registro de nombres
En Argentina: Cancillera http://www.nic.ar En muchos lugares: desregulado. Elegir uno que:
Brinde suficiente respaldo Opciones de seguridad
Autenticacin
SNMP
Simple Network Management Protocol Versiones v1, v2 y v3 Slo v3 sirve en un ambiente no asegurado SNMPv2c es el ms utilizado
SNMP
UA
Ahhh! secret
SNMP
UA
; ar v T SRC IP = MGR SE
Ahhh! secret
SNMP
v1: RO Configuracin por defecto Red segura Cifrado SNMPv3
NTP
Network Time Protocol http://www.ntp.org Asegurar: Autenticacin fuerte Configurar filtrado de paquetes
Stratum 1 Stratum 2
Stratum N
Bases de datos
Ms utilizadas
SQL Server MySQL Postgersql Oracle / DB2
En general
Passwords por defecto Restriccin de acceso remoto Bases de ejemplo
DBA
VoIP
Confidencialidad Integridad ABUSO AUTH IPSec VPN ZRTP
Equipamiento de red
Equipamiento de red
VLANS
VLANs
Leaks de paquetes Flood de paquetes Tagging
Equipamiento de red
Instalacin:
Configuracin Aseguramiento de administracin remota Conexin a la red
Administracin remota:
Passwords por defecto Desactivar / filtrar interfaces no necesarias Red administrativa
Equipamiento de red
Asegurar:
Protocolos de administracin: SNMP, RMON Acceso al equipo: telnet, ssh, http Protocolos de ruteo Direcciones no vlidas Direcciones del equipo
Equipamiento de red
WLAN
IEEE 802.11 WEP (Wired Equivalent Privacy) WPA / WPA2
Wi-Fi Protected Access IEEE 802.11i PSK / EAP
Tips
Permitir acceso a los servicios solo si es necesario Utilizar un sandbox para los servicios pblicos
Tips
Utilizar suid solo si es necesario. Si hay varios administradores, delegar funciones. No utilizar todos el usuario administrador. Utilizar Logs. Utilizar filtrado de paquetes adems del firewall. Realizar verificaciones de seguridad
Tips
Dividir funciones. El firewall es un firewall, no un servidor ms. Comprender y utilizar las facilidades que nos brinda el SO. Documentar. Desarrollo separado de produccin
Marcus Ranum
Enumeracin de amenazas
Antivirus Ignoracia Artificial Sntoma: actualizaciones permantenes
Hacking is cool
Promblema Social Est cambiando:
SPAM, SCAMS, PHISH
Conocer al enemigo?
Permitir por defecto Enumeracin de amenazas Pentest & patch Hacking is cool Educar a los usuarios Actuar es mejor que nada
Otras ideas
(Marc Ranum)
No somos un objetivo Todo sera mas seguro si todo el mundo utilizase [SOsuperseguro-del-da] No necesitamos un firewall, tenemos buena seguridad en los hosts No necesitamos seguridad en los hosts, tenemos un buen firewall Pongmoslo en produccin, y luego lo aseguramos. No podemos hacer nada ante las eventualidades
Polticas
Polticas de seguridad Informtica Son la orientacin con respecto a la seguridad informtica. Necesitan ser reglamentadas: Normas y/o Procedimientos. IRAM-ISO 17799 Objetivo: Formalizar procedimientos actuales. http://www.arcert.gov.ar/politica
Gerenciamiento
Qu hacer si no hay poltica de seguridad interna? Como obtener presupuesto para seguridad?
Evaluacin de Riesgo ROI Concientizacin
Guardar Pruebas
Bibliografa
Bauer, Michael D., Building Secure Servers with Linux, ISBN: 0-596-00217-3, OReilly and Associates, 2002 Schneier, Bruce, Applied Criptography, John Wiley & Sons, Inc. Scambray, Joel and Shema, Mike, Hacking Exposed Web Applications, McGraw-Hill/Osborne Gragg, Roberta, Hardening Windows Systems, ISBN:0072-25354-1, McGraw-Hill/Osborne, 2004
Muchas Gracias
Telnet
FTP TCP
otros
SNMP UDP
otros
Anexo: Direccionamiento IP
IP: 192.168.1.22 192 168 1 22
Anexo: Paquete IP
1 0 8 6
2 4
3 1
IHL Id TTL
ToS
Flags X DF M
Protocol
Dest Port
Acknowledgment Number
Flags
Data Offset
Reserved
U R G
A C K
P S H
R S T
S Y N
F I N