Académique Documents
Professionnel Documents
Culture Documents
INCIDENCIAS EN
SEGURIDAD
INFORMTICA.
LVARO PAZ.
11
Introduccin.
El mundo est cada vez ms conectado electrnicamente, la expansin de los mercados y la
reduccin de los obstculos, a la hora, de hacer negocios a travs de las fronteras. Los servicios
pueden ser organizados en cualquier lugar y los clientes se pueden servir desde cualquier lugar. Los
territorios con mercados emergentes a menudo carecen de un adecuado control del cliente, sin
embargo las tasas de infeccin de malware son altas. Cuando estos clientes infectados con malware
son dirigidos por un mando y control centralizado, se convierten en " botnets. El gran nmero de
mquinas que suelen participar en botnets proporciona una enorme capacidad de generacin de
carga, que se puede alquilar a bajo precio, por cualquiera de las partes, con un inters en la
interrupcin de los servicios de un competidor o un objetivo poltico.
Las Botnets globales de hoy en da estn utilizando ataques distribuidos de denegacin de servicios
(DDoS) a: servicios web y aplicaciones, a menudo, todo al mismo tiempo. A pesar de los ataques
DDoS han estado con nosotros durante dcadas, el alcance, la naturaleza y magnitud del espectro de
amenazas DDoS han evolucionado significativamente con el tiempo.
11
Dilogo del malware con el servidor C&C, encargado de la coordinacin y control del
mismo.
Comunicacin con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo
IRC).
Despus de comparar estas acciones con los patrones de infeccin que tiene en su base de datos, si
coincide, es detectada como infeccin. Entonces BotHunter realiza un informe detallado con todos
los acontecimientos y fuentes que desempearon un papel durante el proceso de la infeccin.
BotHunter no es solo una herramienta ideal para la deteccin de ordenadores zombis en redes
locales, tambin sirve para investigar las fases de infeccin del malware.
11
MultiMail 2.0(http://www.codeproject.com/KB/applications/multimail.aspx).
MultiMail 2.0 es un programa de carga de smtp que tambin puede ser usado como herramienta
prctica para el desarrollo del software contra-Spam. Solo para Windows.
X-Postal(http://www.coker.com.au/postal/).
Otra aplicacin de Stress test para servidores de correo soporta smtp y pop. Que solo funciona en
Linux.
Load Simulator 2003(http://go.microsoft.com/fwlink/?LinkId=27882).
Load Simulator 2003 (LoadSim) simula el uso que realizan las conexiones de nuestros clientes
MAPI. Loadsim determina si cada uno de nuestros servidores est preparado para soportar la carga
de los clientes que queremos reunir en dicho servidor.
Exchange Stress and Performance (ESP http://go.microsoft.com/fwlink/?LinkId=27881).
Esta herramienta simula varias sesiones de clientes arbitrarias que estn concurrentemente
accediendo a uno o varios servidores de Exchange 2003.
ESP Provee mdulos que simulan el acceso de clients bajo los siguientes protocolos y APIs:
WebDAV (for Microsoft Office Outlook Web Access)
Internet Message Access Protocol version 4rev1 (IMAP4)
Lightweight Directory Access Protocol (LDAP)
OLE DB
Network News Transfer Protocol (NNTP)
Post Office Protocol version 3 (POP3)
Simple Mail Transfer Protocol (SMTP)
Exchange ActiveSync
Outlook Mobile Access
11
Los ataques de fuerza bruta suelen ser los ms utilizados para atacar un servicio, ya que son los
ataques ms populares y fciles de ejecutar con herramientas automatizadas. Existen dos
herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios,
bloqueando la IP del atacante. Por ejemplo, si un usuario falla ms de 5 veces el login en SSH,
bloquear dicha IP y el usuario.
En Linux.
Utilizamos la herramienta Fail2ban(http://www.fail2ban.org/wiki/index.php/Main_Page), su
funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas
indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La
accin ms corriente es bloquear el usuario o la Ip en iptables.
El fichero de configuracin es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las
acciones en caso de ataque, existen parmetros como:
ignoreip: IPs de nuestra rea local que aunque se equivoquen en el login no sern
bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
maxretry: Nmero mximo de intentos de login.
bantime: Tiempo en segundos que el usuario que fall el login se quedara sin poder acceder
al servicio especificado. Si se asigna el valor -1 ser permanente.
filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio
/etc/fail2ban/filter.d.
destemail: Direccin de correo electrnico donde enviara las alertas.
Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log
/var/log/fail2ban.log.
Esta herramienta est disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva,
Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.
Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y
denegacin de servicios en servidores Linux.
APF(http://www.rfxn.com/projects/advanced-policy-firewall/).
Es un cortafuegos basado en iptables (netfilter) fcil de instalar y configurar, pero lo que lo hace
indispensable es que es compatible con BFD y DDoS Deflate.
Configuracin bsica:
Una vez instalado su fichero de configuracin se ubica en /etc/apf/conf.apf. En primer lugar se
modifica la lnea que le indica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
11
TRIG=10
Despus configurar el envi de notificaciones por email para cada evento de BFD. Poniendo el
valor 1 para activar y 0 para desactivar.
EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es
Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexin podemos indicar
la IP en el archivo /usr/local/bfd/ignore.hosts.
DDoS Deflate(http://deflate.medialayer.com/).
Se trata de un script que monitoriza las conexiones al servidor a travs de Netstat y bloquea con
APF aquellas que realizan un ataque de negacin de servicios.
Configuracin bsica:
Una vez instalado su fichero de configuracin se encuentra en /usr/local/ddos/ddos.conf. La
primera configuracin es la frecuencia de ejecucin en minutos.
FREQ=1
Despus nmero de conexiones mximas permitidas antes de proceder a bloquear IP:
NO_OF_CONNECTIONS=160
Luego configuracin para uso de APF para bloquear IP. Si se pone 0 usara iptables.
APF_BAN=1
Tiempo en minutos, en el que la IP atacante ser bloqueada:
BAN_PERIOD=500
Direccin de email a la que notificar cuando acta DDoS Deflate.
EMAIL_TO= administrador@servidor.es
En Windows.
Se trata de WinFail2ban(http://winfail2ban.sourceforge.net/), su funcionamiento est basado en
Fail2ban de Linux pero es menos verstil. WinFail2ban se ejecuta como servicio y analiza los log
de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de
fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban
tambin incluye la opcin de enviar las alertas por correo electrnico.
11
Deteccin de cache del servidor. Detecta si los servidores web utilizan cache para acelerar las
peticiones con programas tipo Squid.
Obtencin de IP pblicas. A veces las cookies o los campos especiales del MIME en respuestas
del servidor pueden revelar direcciones IP pblicas de los servidores web. En estos casos se puede
puentear el balanceador de carga y acceder directamente al servidor web.
11