Tut Seg Red

Taller de Seguridad en Redes
Todos los derechos reservados 2004.

Universidad Nacional Autnoma de Mxico
Direccin General de Servicios de Cmputo Acadmico

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

Rector
Juan Ramn de la Fuente

Secretario General
Enrique del Val Blanco

Director General de Servicios de Cmputo Acadmico
Dr. Alejandro Pisanty Baruch

Dra. Genevieve Lucet Lagriffoul
Directora de Cmputo para la Investigacin

Lic. Juan Carlos Guel Lpez
Departamento de Seguridad en Cmputo/UNAM-CERT

TALLER DE SEGURIDAD EN REDES

Editor
Direccin General de Servicios de Cmputo Acadmico
Direccin de Cmputo para la Investigacin

2004 Universidad Nacional Autnoma de Mxico
Esta edicin y sus caractersticas son propiedad de la
Universidad Nacional Autnoma de Mxico.
Ciudad Universitaria, Mxico, DF

Ni la totalidad ni parte de esta publicacin puede reproducirse,
registrarse o transmitirse en ninguna forma ni por ningn medio,
sin la previa autorizacin escrita del editor.

Impreso y hecho en Mxico

R Re eg gi is st tr ro o e en n t tr r m mi it te e
Departamento de Seguridad en Cmputo
UNAM-CERT
Seguridad en Redes
Lic. J uan Carlos Guel Lpez
Ing. Alejandro Nez Sandoval.
UNAM-CERT
UNAM-CERT
TCPdump como herramienta de
Auditoria de Redes
TCPdump
Tcpdump permite comprender
visualmente los conceptos TCP/IP.
Es una herramienta universalmente
disponible.
Fcil de instalar y utilizar.
UNAM-CERT
TCPdump
Ejemplo de una salida TCPdump
Banderas: Banderas TCP (PSH, RST, SYN, FIN ).
#seq. Inicio: Para la conexin inicial, ste es el nmero de secuencia inicial
(ISN) de la IP origen.
#seq. Final: ste es el nmero de secuencia inicial +bytes de datos.
Bytes: bytes de datos (payload) en el paquete TCP.
Tamao de ventana: nmap.edu recibe ventana (TCP buffer).
UNAM-CERT
Tcpdump Salida en Hexadecimal
Con la opcin de lnea de comando x se
despliegan los registros en hexadecimal.
En hexadecimal es ms difcil leer y descifrar.
El nmero de bytes capturados por defecto
es de 68.
Cambia el nmero de bytes capturados
utilizando la opcin s.
Encabezado IP
UNAM-CERT
Traslapacin de datos en Hex con
Enc. IP (Campos)
Translapacin de datos en Hex con
Enc. IP (Bytes)
UNAM-CERT
Conceptos TCP/IP
Modelos para la Comunicacin de Red
Un encabezado de capa es dato de
otra Capa
UNAM-CERT
Encapsulacin de datos
Capa de Enlace
La comunicacin se hace a travs de las direcciones
MAC.
Cuando la capa de red habla con la capa de enlace
necesita traduccin.
Direccin IP Direccin MAC
Se hace utilizando el Protocolo de Resolucin de
Direcciones (ARP Address Resolution Protocol).
La direccin MAC es colocada en el encabezado
Ethernet de la trama.
ARP no es un protocolo ruteable.
UNAM-CERT
Protocolo de Resolucin de
Direcciones (ARP)
0:10:b5:39:c6:9a broadcast arp 42: arp who-has 10.10.10.101 tell 10.10.10.100
0:10:b5:39:c6:93 0:10:b5:39:c6:9a arp 64: arp reply 10.10.10.101 is-at
0:10:b5:39:c6:93
Capa de Red ( IP )
Utiliza direcciones IP para la comunicacin.
La traduccin de direcciones IP se hace a travs de DNS
o tablas de host.
Las direcciones IP son colocadas en un encabezado de
datagrama.
Se preocupa por la entrega paso a paso.
Datagramas IP individuales pueden viajar por diferentes
routeadores.
Protocolo poco confiable.
Moviendo datagramas.
UNAM-CERT
ICMP
Se considera qu es la comunicacin con la capa de red.
Encapsulado en el encabezado IP (nmero de protocolo
1).
Reporta sobres problemas en la transferencia:
Para IP (la fragmentacin requiere establecer DF).
Para la capa de transporte (puerto inaccesible).
Tambin utilizado para simple intercambio de
informacin.
Condiciones cuando un mensaje ICMP
no puede ser enviado
Cundo una condicin de error es temporal
(checksuminvalido).
Un mensaje del error de ICMP no debe ser enviado
en respuesta a:
Otro mensaje de error ICMP.
Una direccin broadcast destino.
Una direccin origen de broadcast o direccin
loopback.
Cualquier fragmento pero el primero.
UNAM-CERT
Ejemplo de mensaje ICMP
10.10.10.100 > 10.10.10.101: icmp: echo request
<4500 0054 081a 0000 4001 49b3 0a0a 0a64
0a0a 0a65> [0800 69dc ba0f 0000] {fd9a a43b
443a 0300 0809 0a0b 0c0d 0e0f 1011 1213
1415 1617 1819}
< > Encabezado IP
[ ] Encabezado ICMP
[ ] Datos ICMP
Ejemplo de un mensaje de error ICMP
10.10.10.101 > 10.10.10.100: icmp: 10.10.10.101
udp port 33435 unreachable
<4500 0038 a739 0000 8001 6aaf 0a0a 0a65
0a0a 0a64> [0303 47f6 0000 0000] {4500 0026
8fc5 0000 0111 0126 0a0a 0a64 0a0a 0a65
8fc4 829b 0012 a294 0000 0000}
< > Encabezado IP
[ ] Encabezado ICMP
[ ] Datos ICMP
UNAM-CERT
Capa de Transporte TCP y UDP
Protocolo de Control
de Transmisin
Transmission Control
Protocol
Control.
Orientado a conexin.
Ms lento.
Protocolo de
Datagrama de
Usuario User
Datagram Protocol
Menor Control.
Conexin menor.
Ms rpido.
Ejemplo de Segmento TCP
10.10.10.101.2047 > 10.10.10.100.21: S 885190720:885190720(0) win
8192 <mss 1460,nop,nop,sackOK>(DF)
<4500 0030 df59 4000 8006 f291 0a0a 0a65
0a0a 0a64> [07ff 0015 34c2 f040 0000 0000
7002 2000 0d2c 0000 0204 05b4 0101 0402]
< > Cabecera IP
[ ] Cabecera TCP
UNAM-CERT
Estableciendo una Conexin
Terminacin de una conexin TCP
Elegantemente
El cliente inicia un cierre con un FI N, el servidor hace un
ACK.
07:15:54.796413 envamelo.net.39905 > mailserver.com.25: F 14:14(0) ack 186 win
8760 (DF).
07:15:54.797241 servidormail.com.25 > enviamelo.net.39905: . ack 15 win 8760 (DF).
El servidor inicia cierre con un FI N, el cliente hace un
ACK.
07:15:54.798865 servidormail.com.25 > enviamelo.net.39905: F 186:186(0) ack 15 win
8760 (DF)
07:15:54.798896 enviamelo.net.39905 > servidormail.com.25: . ack 187 win 8760 (DF)
UNAM-CERT
Banderas TCP
FIN: Termino elegante de una sesin TCP
SYN: Establecimiento de una nueva sesin TCP
Utilizada al inicio de los 3 pasos de apretn de manos nicamente.
RESET: aborta una sesin TCP
PUSH: Envi de datos.
Utilizada cuando un emisor vaca el bfer de escritura
Los datos pueden ser enviados sin utilizar la bandera PUSH explicita
ACK: Reconocimiento de recibo de datos.
Despus de inicio de una conexin SYN, debe ser siempre establecida
URG: Notifica de urgente el dato a ser enviado.
ECN-related: la respuesta a la Notificacin Explcita de la Congestin
Salida tcpdump de 3 pasos del
handshake
07:11:01.209928 cliente.net.39905 > servidormail.com.25: S
743211991:743211991(0) win 8760 <mms 1460> (DF)
07:11:01.211211 servidormail.com.25 > cliente.net.39905: S
1202779586:1202779586(0) ack 743211992 win 8760 <mss 1460>
(DF)
07:11:01.211254 cliente.net.39905 > servidormail.com.25: . ack 1 win
8760 (DF)
UNAM-CERT
Puertos Servidor y Cliente
Los puertos ms conocidos histricamente 1-1023
Estos puertos no cambian en el servidor
Cliente/los puestos efmeros numerados > 1023
Estos puertos tpicamente cambian por conexin
nueva
antes de que el cliente inicie la conexin se selecciona
un nuevo puerto efmero
El cliente y servidor comunica la sesin entera utilizando
los puertos establecidos
Salida tcpdump 3 pasos del handshake
(nmeros de puerto)
743211991:743211991(0) win 8760 <mss 1460> (DF)
1202779586:1202779586(0) ack 743211992 win 8760 <mss 1460>
(DF)
07:11:01.211254 cliente.net.39905 > servidormail.com.25: .ack 1 win
8760 (DF)
UNAM-CERT
TCP secuencias
Intercambio de datos TCP se hace en secuencia
de mltiples segmentos.
Cada segmento identificado por un nmero de
secuencia.
Nmero de 32 bits.
Utilizado para ordenar mltiples segmentos
enviados.
Nmeros de reconocimiento TCP
(Acknowledgement)
TCP es un protocolo confiable garantiza la
entrega.
Reconocimiento por host destino identifica el
recibo de datos enviados.
Los nmeros de reconocimiento es el ltimo
nmero de secuencia TCP recibido + 1.
Representa el prximo nmero de secuencia
esperado por el emisor.
UNAM-CERT
Salida tcpdump 3 (nmeros de
secuencia/reconocimiento)
743211991:743211991(0) win 8760 <mss 1460> (DF)
1202779586:1202779586(0) ack 743211992 win 8760 <mss
1460> (DF)
07:11:01.211254 cliente.net.39905 > servidormail.com.25: .ack 1 win
8760 (DF)
Fallas en la entrega TCP
Cmo hace el receptor para hacer saber al
emisor que los datos han sido recibidos?
Prdida o retardo del segmento TCP en
medio del trafico.
Duplica nmero de reconocimiento del receptor.
No reconocimiento por el receptor
Retransmisin tiempo muerto por el emisor.
UNAM-CERT
Reconocimientos Duplicados
10.10.10.100.ftp > 10.10.10.101.1054: P 1:81(80) ack 1 win 32120
10.10.10.101.1054 > 10.10.10.100.ftp: . ack 81 win 8660 (DF)
10.10.10.100.ftp> 10.10.10.101.1054: P 81:116(35) ack 1 win
32120 (DF) [tos 0x10]
10.10.10.100.ftp > 10.10.10.101.1054 P 116.144(28) ack 1 win 32120 (DF)
[tos 0x10]
10.10.10.10.100.1054 > 10.10.10.100.ftp: . ack 81 win 8680 (DF)
10.10.10.100.ftp > 10.10.10.101.1054: P 144:173 (29) ack 47 win 32120 (DF)
[tos 0x10]
10.10.10.101.1054 > 10.10.10.100.ftp: . ack 81 win 8680 (DF)
10.10.10.100-ftp> 10.10.10.101.1054: P 81:116(35) ack 1 win
32120 (DF) [tos 0x10]
Tiempo de retransmisin
17:14:18.726864 1.1.1.1.62555 > 192.168.44.63.3128: S 20583734:
20583734(0) win 8192 <mss 1380> (DF)
(no reconocimiento)
17:14:21.781140 1.1.1.1.62555 > 192.168.44.63.3128: S
20583734:20583734(0) win 8192 <mss 1380> (DF)
(no reconocimiento)
17:14:27:776662 1.1.1.1.62555 > 192.168.44.63.3128: S
10583734.20583734(0) win 8192 <mss 1380> (DF)
(no reconocimiento)
17:14:39.775929 1.1.1.1.62555 > 192.168.44.63.3128: S
20583734:20583734(0) win 8192 <mss 1380> (DF)
UNAM-CERT
UDP
Protocolo ligero.
Soporta direcciones unicast, broadcast y multicast.
Encabezado reducido.
No tiene confiabilidad en la capa de trasporte.
No existen mensaje de orden.
No bajo control.
Encabezado IP encapsulado (protocolo nmero 17).
Ejemplo de un datagrama UDP
10.10.10.100.138 > 10.10.10.255.138: udp 224
<4500 00fc 20f2 0000 4111 2f89 0a0a 0a64
0a0a 0aff> [008a 008a 00e8 2553] {110a 4c94
0a0a 0a 64 008a 00e0 0000 2046 4745 4646
4345 4345 5043}
< > Encabezado IP
[ ] Encabezado UDP
[ ] Datos UDP
UNAM-CERT
Teora de la fragmentacin
Ocurre cuando una Unidad Mxima de
Transmisin (MTU) es ms pequea que
un datagrama.
Reensamblado por el host destino.
Puede ser utilizada para pasar ruteadores
o sistemas de deteccin de intrusos.
Ms teora de fragmentacin
Reensamblado por el host receptor
Todos los fragmentos:
Deben compartir un nmero comn de identificacin
de fragmento.
Debe decir que offset en el datagrama original no
fragmentado.
Debe decir la longitud de datos payload.
Debe decir si otro fragmento sigue a ste.
Cada fragmento es encapsulado en el
datagrama IP.
UNAM-CERT
ID de fragmento
Cada fragmento tiene un nmero de identificacin
ID de fragmento.
Toma del IP el campo de identificacin.
EL valor es establecido por el host que enva el
datagrama.
El valor usualmente se incrementa por 1 para cada
nuevo datagrama enviado:
Nuevos TCP/IP stacks tomarn aleatoriamente este valor.
Valor de identificacin de un datagrama IP no
fragmentado.
ping.com> 192.168.244.2: icmp: echo request (ttl 240, id202 )
Empaquetamiento de datagrama
Ethernet
UNAM-CERT
Fragmentacin utilizando ICMP echo
request
La alteracin
UNAM-CERT
El primer fragmento
Composicin del primer fragmento
UNAM-CERT
El segundo fragmento
Composicin del segundo fragmento
UNAM-CERT
El tercer fragmento
UNAM-CERT
Composicin del fragmento final
A continuacin se describe el ltimo fragmento del grupo de fragmentos. De nuevo,
20 bytes son reservados para el encabezado IP. Los bytes datos ICMP restantes
son llevados en la porcin de datos de este fragmento. El ID del fragmento es
21223, las dems banderas de fragmento no son establecidas por que este es el
ltimo fragmento. El offset es 2960 (sta es la suma de los dos 1480 bytes de los
fragmentos previos). Hay nicamente 1048 bytes de datos llevados en este
fragmento comprendido enteramente en el resto de bytes de mensaje ICMP.
Este fragmento, igual que el segundo, no tendr pseudo encabezado ICMP y sin
embargo ningn tipo de mensaje ICMP para reflejar que esto es un ICMP echo
request.
UNAM-CERT
Salida TCPdump de fragmentacin
ping.com> myhost.com: icmp: echo: resquest (frag 21223:1480@0+)
ping.com> myhost.com: (flag 21223:1480@1480+)
ping.com> myhost.com: (flag 21223:1048@2960)
ID de
fragmento
Ms fragmentos
siguen
Numero de bytes de
datos en el fragmento
Offset de los datos
Fragmentacin y un dispositivo de
filtrado de paquetes
nicamente el primer fragmento lleva encabezado de protocolo.
Si el filtrado de paquetes no bloquea todo en el trfico de
entrada:
Puede bloquear el primer fragmento nicamente.
Fragmentos subsiguientes se permitirn.
Fragmentos reensamblados:
Por el host destino.
NOpor el dispositivo de filtrado de paquetes incapaz de
mantener el estado.
UNAM-CERT
La bandera no fragmentada
Localizada en el encabezado IP.
Si esta bandera es activada, el paquete no se fragmentar.
Si la fragmentacin es requerida, el datagrama ser descartado.
Puede ser puesto por el host emisor para determinar el MTU ms
pequeo en la ruta del receptor.
Una vez determinados, los datagramas son enviados con un tamao
ms pequeo que MTU.
Salida tcpdump con la bandera DF y
fragmentacin requerida
11:30:55.270000 ruteador.ru > mail.misitio.com: icmp:
host.ru unreachable need to flag (mtu 536) (df)
UNAM-CERT
Fragmentacin maliciosa
Ataque de fragmentacin Ping de la
Muerte
Utiliza paquetes fragmentados ICMP para la
negacin de servicio.
Datagrama muy grande realizado, utilizando
fragmentos.
Cuando es reensamblado por el host vctima, el
mximo tamao de datagrama de 65,535 bytes
es excedido.
Causa la cada o congelamiento de algunos
hosts vulnerables.
UNAM-CERT
Ping de la Muerte
Salida TCPdump del Ping de la muerte
pingdiabolico.com> hostvictima.com: icmp: echo request (frag
56980:1480@0+)
pingdiabolico.com> hostvictima.com: (frag 56980:1480@1480+)

UNAM-CERT
Salida TCPdump de un ataque
Teardrop
Examina la salida tcpdump del fragmento de
trfico de abajo.
Qu esta mal?
fragdiabolico.com.139 > origen.net.139: udp 28 (frag
242:36@0+)
fragdiabolico.com> origen.net: (frag 242:4@24)
Ataque Teardrop
UNAM-CERT
Salida tcpdump de actividad
desconocida
Examina la salida tcpdump del trfico
fragmentado abajo.
Qu esta mal?
fragdiabolico.com.139 > destino.net.139: udp 10 (frag
242:18@0+)
fragdiabolico.com> destino.net: (frag 242:116@48)
Actividad desconocida
UNAM-CERT
ICMP
Por qu es necesario ICMP?
Un mtodo para publicar simples solicitudes
Un mtodo para informar de condiciones de error
UNAM-CERT
ICMP contra TCP/UDP
No nmeros de puerto.
No nocin de cliente/servidor.
No promete entrega confiable.
Alguna veces no responde como se espera.
Puede ser broadcast.
Oradores ICMP
Hosts entregando mensajes de error/solicitud a otros hosts
UNAM-CERT
Oradores ICMP (2)
Ruteadores entregan mensajes de error ICMP a los
hosts
Escuchas ICMP
Un host puede hablar con otro host
UNAM-CERT
Escuchas ICMP (2)
Un host puede hablar con muchos hosts
Mapeo inalcanzable
00:12:45.830000 scanner.net > 192.168.117.63:icmp: echo request
UNAM-CERT
Mapeo eficiente
Mapeo ICMP
06:34:31.150000 scanner.net > 192.168.21.0: icmp: echo request
UNAM-CERT
Mapeo ICMP 2
20:39:38.120000 scanner.edu > ruteador.com: icmp: address mask
request (DF)
request (DF)
request (DF)
request (DF)
request (DF)
request (DF)
ICMP normal
Request/replies:
Timestamp request/reply.
Mensajes de error:
Hosts inalcanzable.
Puerto inalcanzable.
Prohibido por la administracin.
Redireccionamiento.
Fragmentacin requerida, bandera DF establecida.
Tiempo excedido.
Tiempo de reensamble excedido.
UNAM-CERT
Timestamp request/reply
00:00:33.060000 host.emisor > host.receptor: icmp: time
stamp request [tos 0x10]
00:00:33.150000 host.receptor > host.emisor: icmp: time
stamp reply [tos 0x10]
Host inalcanzable
router > host.emisor: icmp: host host.receptor unreachable
UNAM-CERT
Puerto inalcanzable
host.destino > host.origen: icmp: host.destino udpport ntp unreachable (df)
La administracin prohibi
ruteador > host.origen: icmp: host host.destino unreachable admin prohibited
UNAM-CERT
Redireccionamiento
ruteador.no-optimo > host.origen: icmp: redirect host.destino host ruteador.optimo
Fragmentacin requerida, bandera DF
establecida
ruteador > host.origen: icmp: host.destino unreachable need to frag (mtu 1500)
UNAM-CERT
Tiempo excedido en trnsito
ruteadorx > host.origen: icmp: time exceeded in-transit [tos 0xc0]
El tiempo del reensamblaje excedi
host.destino > host.origen: icmp: ipreassembly time exceeded (DF)
UNAM-CERT
ICMP malicioso
Bueno, se examinarn algunos mtodos
para los que ICMP puede ser utilizado en
otros propsitos:
Reconocimiento adicional.
Smurf.
WinFreez.
TFN.
Loki.
Reconocimiento adicional
Vase el mensaje ICMP de abajo Qu Observa?
host.destino > host.origen: icmp: host.destino udpport netp
unreachable (DF)
1. host.destino existe, ste es un host ejecutndose.
2. Puerto ntp no est escuchando.
ruteador.com> host.origen: icmp: host 5.5.5.5 unreachable
1. ruteador.comes un ruteador en la red remota.
2. 5.5.5.5 muy probablemente no es un host activo.
UNAM-CERT
Otro reconocimiento ICMP
Descubrir ruteadores:
Fragmentacin necesaria pero el bit DF establecido.
La administracin prohibi.
Tiempo de trnsito excedido.
Solicitud/Respuesta de direccin de mscara.
Protocolo inalcanzable inversamente mapeo de protocolos
disponibles.
Puerto inalcanzable inversamente mapeo de puertos UDP.
Fragmentacin necesaria pero el bit DF establecido Descubrir MTU
de liga.
La administracin prohibi Determina las listas de control de
acceso.
Tiempo en trnsito excedido Descubrir la topologia de red.
Solicitud de direccin de mscara descubirir mscaras de subnet.
Ataque Smurf
UNAM-CERT
WinFrezz
ruteador > victima.com: icmp: redirec 243.148.16.61 to host
victima.com
victima.com
victima.com
victima.com
victima.com
victima.com
victima.com
Loki
UNAM-CERT
Tribe flood network
ICMP echo replies no solicitados
reply.com > 192.168.127.41: icmp: echo reply
UNAM-CERT
Explicacin ICMP echo reply 1
IP origen falsa, victima Smurf
En esta explicacin se propone la posibilidad de que este trfico por que alguien ha
tomado la IP origen 192.168.127.41, enve este a reply.com quien entonces
regresa la direccin IP real 192.168.127.41. Si ven los ICMP echo replies de
muchos otros hosts en la misma red como reply.com, se puede ver un destino
Smurf.
La actividad spoofing parece incrementarse por lo que este mtodo puede ser una
explicacin razonable. Tpicamente cuando se tiene testimonio de ICMP echo
replies no solicitados que aparentan utilizar la IP origen spofeada, en este ejemplo
victima.com, se puede ver otra actividad no solicitada del mismo host intermediario,
en este ejemplo, reply.com. Usualmente esta actividad no se ve en insolacin. Se
pueden ver estas respuestas yendo a muchos diferentes host 192.168.127, no slo
una simple solicitud mltiples veces. Esta pieza de ICMP echo replies puede ser
indicativo de algn tipo de actividad flood direccionada a reply.comusando la IP
origen spofeada.
UNAM-CERT
reply.comes un maestro TFN y 192.168.127.41 es un
demonio TFN
reply.comes un servidor Loki y 192.168.127.41 es un
cliente Loki
UNAM-CERT
Tiempo de Break
UNAM-CERT
Anlisis de Ataques en Red
Analizando Ataques en Red
Paso Explotando el sistema.
Obteniendo acceso.
I P Address Spoofing.
Sniffing con sniffit y dsniff.
Session Hijacking:
Ettercap.
DNS cache Poisoning.
UNAM-CERT
IP Spoofing
Ataca a un tercero robando la identidad de la direccin IP para
hacerse pasar por otra, que no le corresponde.
La explotacin implica la confianza entre los equipos.
Requiere de una tcnica sofisticada, donde se requiere conocer
los puertos origen-destino entre una mquina A y una mquina
B, para que la mquina C se pueda hacer pasar por A o B
segn sea el caso.
IP Spoofing
Spoofing = Pretendiendo ser alguien mas.
IP Address spoofing es comn en una gran variedad de ataques.
Engaar a los sistemas apoderndose de su direccin IP para
controlar:
Listas de control de acceso del ruteador.
Firewalls.
Relaciones de confianza entre equipos (comandos R en
Unix).
IP Spoofing puede ser tan trivial como complejo:
Variedad 1 : cambio de direccin IP.
Variedad 2 : IP spoofing y ataque de relaciones de confianza.
Variedad 3 : IP Spoofing y ruteo origen.
UNAM-CERT
IP Spoofing variedad 1:
Cambio de IP
Puedo cambiar mi direccin IP a la que yo quiera:
verdadero!!
en UNIX: ifconfig -eth0 w.x.y.z
en Windows: usar panel de control de la red.
Si, pero...
No obtendrs respuestas a tus mensajes, debido a que la
red no rutear esas respuestas de regreso.
De igual forma, el mecanismo 3 way handshake te
causar problemas.
Obtendrs un mensaje RESET del sistema con conexin
original....a menos que.....
cambio de IP y el TCP 3 Way Handshake
Recuerda el TCP 3-way handshake
Ack(A,ISNa+N),SYN(B,ISNb)
Ack(B,ISNb+N)
Connection
Syn(A,ISNa)
Hugo
Paco
ISN es el nmero secuencial inicial (ISN por sus siglas en
ingls).
Comienza con un nmero aleatorio (por razones de
seguridad).
UNAM-CERT
cambio de IP y el reajuste de conexin con
Reset
El spoofing simple con sesiones interactivas es imposible debido al
TCP 3 Way Handshake
RESET !!!
Syn(A,ISNa)
Hugo
Paco
Luis
explotando la confianza
Se puede realizar un ataque IP Spoofing en un
sistema Unix tratando de explotar la relacin de
confianza entre dos entidades.
Una variante de este ataque fue usada por Kevin
Mitnick contra Tsutomu Shimomura en diciembre
de 1994.
Tristemente, es una tcnica muy usada en
nuestros das.
Asumimos que la mquina de Paco confa en la
maquina de Hugo (p. ej. el nombre de hugo est
en el archivo /etc/hosts.equiv o dentro de un
archivo ~/.rhosts)
Confianza
Paco
Hugo
UNAM-CERT
explotando la confianza en Unix
El nmero de secuencia aleatorio enviado entre Paco (ISNb) es en
muchos casos predecible.
Luis puede interaccionar con Hugo y, basndose cuidadosamente
en los tiempos, puede predecir los nmeros secuenciales con cierto
nivel de exactitud.
Esto le da a Luis (3ro) un canal directo a Paco
Y Hugo pensar que Luis es Paco.
Grandioso!!! pero....qu hay de la conexin RESET de Hugo?
Dejar a Hugo fuera de conexin por un momento, negndole el
servicio.
IP Spoofing variedad 2: cmo funciona?
ACK(B,ISNb+N)
Syn(A,ISNa)
Hugo
Paco
Luis
0
2
4
3
1
As funciona ...
Recoleccin de
valores
I SNb sin spoofear
UNAM-CERT
IP Spoofing variedad 2: OK!! Y ahora
qu?
Ahora Luis tiene un canal de comunicacin abierto con Paco.
Luis ataca y deja fuera a Hugo, permitindole intercambiar
mensajes con Paco.
Luis podr ahora usar comandos como rsh aprovechndose
de las relaciones de confianza de Luis con Paco.
Por supuesto, Luis no ver alguna respuesta de Paco.
Las respuestas an irn hacia Hugo.
Hugo no podr responder y reiniciar la comunicacin.
Por un periodo de tiempo corto, Luis parecer en las
conexiones como Hugo en la comunicacin con Paco.
Luis debe apresurarse a reconfigurar el equipo y accesos a
los equipos de Paco.
IP Spoofing variedad 3: ruteo origen
Se combina el IP Spoofing y ruteo origen
Como se sabe, nos gustara obtener respuestas.
Actualmente, este ataque es ms simple que el descrito
como variedad 2...
...y es independiente de la plataforma (la variedad 2
requiere relaciones de confianza en Unix).
Slo usa el ruteo origen:
Con el origen del cual aparece provenir de la direccin
robada.
...y un sendero que incluye al -spoofer- (p.ej. el intruso).
Todos los paquetes seguirn el sendero...
Y las respuestas harn lo mismo tambin.
El intruso podr interceptar las respuestas.
UNAM-CERT
IP Spoofing variedad 1: cambio de IP
Hugo
Paco
Paquete:
Ruta:
1)Paco
2)Router Y
3)Luis
4)Router X
5)Hugo
Contenido del
paquete
Paquete:
Ruta:
1)Hugo
2)Router X
3)Luis
4)Router Y
5)Paco
Contenido del
paquete
Luis
Protegindose del IP Spoofing
Hacer que los nmeros del Initial Sequence Numbers sean
realmente aleatorios.
Es necesario instalar parches que nos previenen del ataque a la pila
TCP.
Ser cuidadoso en las relaciones de confianza.
No extender mecanismos de confianza ms alla de los firewalls.
Sea WindowsNT o Unix.
No usar autenticacin basada en direcciones IP.
Utilizar contraseas, criptografa o alguna otra tcnica.
Reemplazar los dbiles comandos r con comandos que usen
mecanismos ms fuertes (scopy, .shost).
Con el uso de SSH, o las variantes libres (lsh).
Utilizar filtros anti-spoof en los rutadores y firewalls.
No permitir ruteo de paquetes origen hacia las entradas de la red:
Cuidar las entradas de Internet (firewalls y ruteadores).
Conexiones con otros sitios afiliados a mi empresa (aliados).
UNAM-CERT
Resumen IP Spoofing
Nombre del ataque: IP Spoofing.
CVE#: S/N.
Sistemas afectados: La mayora de los SO.
Herramientas usadas:Una gran variedad.
Protocolos: IP.
Descripcin: Modifica la direccin IP de un sistema
intentando perder el destino de la
conexin.
Obteniendo acceso.
IP Address Spoofing.
Sniffingcon sniffit y dsniff.
Session Hijacking:
Ettercap.
UNAM-CERT
Sniffers
Un Sniffer o capturador de red nos provee toda la informacin
que circula en la red.
Funciona en dispositivos Ethernet, permitindole al intruso el
visualizar passwords, etc.
Para Ethernet, todos los datos son visualizados en un
segmento.
Contar con segmentos divididos limita la cantidad de
datos que el sniffer puede capturar
Transion Ethernet
HUB
Ethernet Switch
HUB
Blah,blah
Blah,blah
Blah,blah
Blah,blah
Blah,blah Blah,blah
Blah,blah
Una gran variedad de Sniffers
Existe una gran cantidad de ejemplos de sniffers hoy da:
es-freeware (viene por lo general con SunOS,Rootkits para
Solaris).
Websniff Freware.
Tcpdump Freeware.
Snoop - Distribuido con solaris.
Network Associates Comercial.
Shomiti Surveyor Comercial.
Ethereal Freeware.
Windump Freeware.
Snort Freeware.
Sniffit Freeware.
Dsniff - Un conjunto de utileras construidas alrededor del
sniffer.
Veamos los ltimos 4 ms a detalle...
UNAM-CERT
Windump
Windump est basado en gran parte de tcpdump a
plataforma Windows:
Corre en Win 95/98 y Win NT/2000/XP.
Disponible en:
http://windump.polito.it
Consiste de captura de trfico de paquetes de red a
travs de un driver NDIS y de una aplicacin ejecutable.
Soporta filtros simples.
Sniffer Gratuito/IDS: Snort
Otro excelente Sniffer es Snort, desarrollado por Marty
Roesch:
Disponible en http://www.snort.org
Contiene scripts con caractersticas muy poderosas.
Es el sistema detector de intrusos ms ligero por tamao
en el mercado.
Corre en mltiples plataformas:
Linux,OpenBSD,FreeBSD,NetBSD,Solaris,SunOS,HP, AIX,
IRIX, Tru64, MacOS X server
Existe un port para Windows NT (escrito por Mike Davis).
Disponible en http://www.winsnort.com
Es sumamente til para realizar investigaciones :-):
No es comn su uso en ambientes Underground.
UNAM-CERT
Sniffit
Escrito por Brecht Claerhout, disponible en:
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
Corre en Linux, Solaris, IRIX,FreeBSDy SunOS.
Contiene una interfaz interactiva, o puede ser ejecutado en
background.
Debes ser el usuario root para ejecutar la aplicacin.
Recolecta las conexiones existentes y nos permite enfocarnos
a alguna en particular.
Permite los filtros:
Basados en IP, nmeros de puertos, etc.
Se puede configurar para permitir slo el uso del telnet o ftp,
para capturar los login UserIDy los passwords
Dsniff - Un conjunto de utileras con
sniffer
Dsniff es un conjunto de utileras que hacen de la captura y
espionaje algo realmente til:
Incluso en redes switcheadas
Escrita por Dug Song:
http://www.monkey.org/~dugsong/dsniff
Trabaja en ethernet o en redes inalmbricas (Wireless).
Corre en Linux o BSD:
Algunos componentes han sido escritos y portados a
Win32.

UNAM-CERT
Componentes de Dsniff
Sniff consiste de diversos componentes:
-dsniff -filesnarf -DNSSpoof
-arpspoof -mailsnarf -Webmitm
-macof -URLsnarf -SSHmitm
-tcpkill -WEBspy
-tcpnice
Analizando el corazn de Dsniff
Dsniff:
El programa principal de la aplicacin.
Es un sniffer que decodifica:
FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNM
P,LDAP,Rlogin,RIP,OSPF,NFS,YP/NIS,SOCKS,X11,CVS,I
RC,AIM,ICQ,Napster,PostgresSQL,Meeting Maker, Citrix
ICA, Symantec pcAnyware, NAI Sniffer, Microsoft SMB,
Oracle SQL *Net, Sybase y Microsoft SQL auth info.
UNAM-CERT
Un vistazo rpido al protocolo
Capa de aplicacin
(navegacin web,telnet,FTP,etc.)
Capa de transporte
(TCP o UDP, etc.)
Capa de red
(IP)
Capa de enlace de datos
(Ethernet,firmware,MAC)
Capa fsica
(Tarjeta Ethernet,wire,etc.)
Nombres de dominios
(P.ej. www.seguridad.unam.mx)
Sistema de Nombres de
Dominios (DNS)
Direccin IP
(P.Ej. 10.1.1.1)
Protocolo de Resolucin
de Direcciones
(ARP)
Direccin MAC
(P.Ej. AA:BB:CC:DD:EE:FF)
Direcciones para sistemas
en esta capa
Mapeo
Entre direcciones
Como las direcciones IP son mapeadas en direcciones MAC
Hablemos un poco de la capa MAC
Cuando se envan datos a travs de una LAN, stos deben ser
dirigidos a una direccin especfica de hardware:
La direccin MAC de la interfaz ethernet, es una direccin de 48
bits y es nica, insertada sigilosamente dentro de la tarjeta.
Tu maquina debe determinar la direccin MAC correspondiente a las
direcciones IP dadas.
El protocolo de resolucin de direcciones (ARP) soporta la
conversin de el mapeo de direcciones IP a direcciones MAC.
Si envo una peticin ARP: cul es la direccin MAC para la
direccin 10.1.1.1?
La mquina apropiada enva respuesta ARP indicndole hey!!...esa
es mi direccin MAC...soy yo :-)
UNAM-CERT
ARPs gratuitos
Los datos ARP son almacenados dentro del ARP cach de
cada sistema.
Los ARP gratuitos: cualquiera puede enviar respuestas ARP
aunque ninguno enve peticiones ARP.
Aqu toma estos datos...por si te ests preguntando, la direccin MAC
para la direccin IP 10.1.1.1 es AA:BB:CC:DD:EE:FF
Las mquinas necesitarn estos datos y seguramente lo integrarn en
los cach correspondientes, incluso sobrescribiendo entradas anteriores
de esta direccin.
Solaris es ms meticuloso y espera por un tiempo de respuesta
(timeout) para conocer si ya se encuentra dicha direccin en el cach.
ARP cach poisoning nos permite redireccionar la informacin
a un sistema distinto dentro de la LAN.
Atacando la capa de enlace de datos.
Macof:
Inunda un switch con trfico con mltiples direcciones
MAC, posiblemente cambiando el switch a hub.
arpspoof:
Alimenta direcciones falsas ARP a las LAN para que el
trfico sea redireccionado al intruso, y as lo capture,
analice y monitoree.
Debe activarse el redireccionamiento IP (a nivel kernel o a
nivel aplicacin).
UNAM-CERT
Usando Dsniff para engaar a los switchs
La vctima enva trfico destinado
a salir hacia Internet.
Blah,blah
B
l
a
h
,
b
l
a
h
B
l
a
h
,
b
l
a
h
SWITCH
3
Se envan respuestas ARP
falsas con la finalidad de
redireccionar los datos del
ruteador de default a la
maquina del intruso, donde
est sniffeando
2
Confi gura el redireccionamiento
de IP para enviar paquetes al
gateway de default para la LAN.
1
Se captura y snifea el trfico
desde la lnea. 4
Los paquetes son redireccionados
desde la mquina del intruso al
verdadero gateway para la entrega
5
Blah,blah
Ruteador
default
Salida al
Exterior
B
l
a
h
,
b
l
a
h
Atacando la capa TCP.
tcpkill:
Mata las conexiones tcp existentes.
tcpnice:
Forma trfico activo!!, inserta paquetes con pequeos
tamaos de ventanas o ICMP quench.
Usual si se sniffea una conexin rpida y no necesitas
bajar la cantidad de flujo de paquetes para una conexin
en especfico.
UNAM-CERT
Atacando la capa de datos y
aplicaciones usando Dsniff
filesnarf:
Guarda los archivos capturados por NFS al servidor local.
Mailsnarf:
Guarda correos capturados de los protocolos SMTP y POP
al servidor local.
URLsnarf:
Captura todos los URLs del trfico generado por HTTP.
Usando Dsniff para capturar datos del
WEB
Webspy -una herramienta til:
Enva URLs capturados desde dsniff al navegador del intruso.
El navegador del intruso muestra las pginas que su vctima
est navegando en tiempo real.
El intruso ve sobre la espalda de su vctima.
LAN
UNAM-CERT
Atacando la capa de aplicaciones usando
Dsniff
Las caractersticas ms populares de la herramienta Dsniff es
que le permite a un intruso manipular las aplicaciones para
realizar diversas operaciones como:
DNSSpoof.
WEBmitm.
SSHmitm.
Usando Dsniff para engaar al DNS
La vctima intenta
resolver un nombre
usando DNS
www.guelbank.com
SWITCH
2
Se enva una respuesta
falsa al DNS con
cualquier direccin IP
que el intruso quiere
que la vctima use.
4
Intruso activa el programa
DNSSpoof
1
El intruso captura-sniffea las
peticiones del DNS en lnea
de comandos
3
La victima
ahora navega para el
intruso
5
www.guelbank.com
Es la direccin destino
deseada en 10.22.12.41
Ruteador
default
Salida al
Exterior
Maquina del
intruso en 10.1.1.56
www.guelbank.com
= 10.1.1.56
UNAM-CERT
Efectos de DNSSpoof
Para llevar a cabo esta modalidad cabe sealar que el intruso
no necesita estar en la misma LAN de su vctima para espiar y
sniffear el trabajo.
El intruso slo tiene que estacionarse en la red entre la
mquina fuente y el servidor DNS.
Usando DNSSpoof, se puede redireccionar el trfico a donde
se desee.
Qu hay del proxy, dnde podemos guardar el trfico?
Usando Dsniff para capturar SSL y SSH
La vctima establece
conexin SSL, sin conocer
que el intruso est
redireccionando y
observando su conexin.
Establecimiento
de conexin SSL
LAN
3
DNSSpoof enva respuestas DNS
falsas con la direccin IP de la
mquina corriendo la aplicacin
webmitm(10.1.2.3).
2
Intruso activa los programas
dnsspoof y webmitm.
1
Webmitm acta como proxies de
la conexin https estableciendo
una conexin https al servidor y
enviando al intruso su propio
certificado al cliente.
4
La vctima ahora accede al
servidor deseado, pero todo el
trfico es visualizable por el
intruso usando webmin como
proxy.
5
La direccion IP es:
10.1.2.3
Ruteado
r default
Salida al
Exterior
www.guelbank.com
Es la direccin destino
deseada en 10.22.12.41
UNAM-CERT
Mensajes del navegador.
Sniffeando conexiones SSL
Protegindose del uso de los sniffers
Mantener a los intrusos fuera del alcance de mis equipos como
primer punto.
Detectar un sniffer localmente usando:
Ifconfig (en la mayora de los Unix).
Ifstatus (para Solaris, disponible en
http://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/ifstatus
/)
Detectar un snifer remotamente:
Medir cambio en el rendimiento bajo las cargas de red.
Buscar por bsquedas de DNS extraas.
anti-sniff (http://www.securitysoftwarewatch.com/antisniff/)
Sentinel (http://www.packetfactory.net/Projects/)
Switchear una red Ethernet en segmentos crticos.
UNAM-CERT
Protegindose del uso de los sniffers
Para redes crticas, manejar tablas estrictas de tramas ARP en
todas las mquinas:
A travs del establecimiento de una DMZ, ruteador, firewall,
DNS, servidor Web, etc.
Activar la opcin de seguridad por puertos en los switches.
Bloquear los puertos especficos en el switch para las
direcciones MAC correspondientes.
Utilizar cifrado a nivel red (IPSec Vitual Private Networks)
para todo aquel trfico considerado crtico en una red.
Poner atencin en aquellos mensajes de advertencia en los
navegadores y clientes SSH.
Resumen Dsniff
Nombre del ataque: Dsniff.
CVE#: S/N.
Herramientas usadas:Unix.
Protocolos: TCP/IP.
Descripcin: Es un conjunto de herramientas de
captura de sesin y trfico de
red que le permiten al intruso la
captura de sesiones a travs de la
red, incluso en redes segmentadas.
UNAM-CERT
Session Hijacking:
- Ettercap.
Obteniendo acceso.
Robo de sesin
Son herramientas que le permiten al intruso:
Robar, compartir, terminar, matar aplicacin, o registrar cual
quier session de una terminal que se encuentre en ejecucin.
Se enfocan a las aplicaciones orientadas a sesin:
telnet, ftp, rlogin.
No funcionan con http, https, dns,etc.
Sesiones robadas a travs de la red:
Hunt y ettercap.
Pueden robar las sesiones en las mquinas origen:
Incluso pasar todas las formas de autenticacin posible y redes
privadas virtuales (VPN).
TTYSnoop, dispobible en:
http://freshmeat.net/projects/ttysnoop/
UNAM-CERT
Encontrando una sesin
Hugo realiza un telnet a la mquina de Paco y desarrolla una
sesin donde trabaja en la mquina remota.
Telnet Hugo a Paco
RED
Hugo
Paco
Luis
Robando la sesin
El intruso puede monitorear el trfico y generar paquetes con
el mismo sequence number.
El intruso podra sacar de sesion a Hugo y hacer los cambios
correspondientes en Paco. Las bitcoras mostrarn que Hugo
realiz las modificaciones.
Telnet Hugo a Paco
RED
Hugo
Paco
Luis
Hola!! soy Hugo...
UNAM-CERT
Robando la sesin - Provocando trfico ACK's
Si el intruso logra brincar a la conexion y apropiarse de ella, comienza a
envir paquetes falsos, los nmeros de secuencia entre los dos lados tratarn
de sincronizarse.
Mientras los dos lados tratan de resincronizarse, stos reenviarn paquetes
SYNs y ACKs de ida y vuelta, tratando de analizar qu est pasando?
generando un trfico resultante de ACKs.
ACK(A,SNa) ACK(snb) ACK(B,SNb) ACK(SNa)
RED
Hugo
Paco
Luis
Paquetes con(A,SNa+N)
ACK(SNb+M)
Herramientas para el robo de sesin
Hunt:
Herramienta bien diseada.
Desarrollada por Kra (Pavel Krauz).
Automticamente captura las conexiones.
Permite la insercin de comandos.
O...slo se apodera de las sesiones.
Y ....puede provocar saturamiento de tramas ACK.
Disponible en:
http://www.cri.cz/kra/index.html
UNAM-CERT
Ataque ARP Spoofing usando HUNT
Para que se genere trfico excesivo ACK debe pasar:
Luis deber iniciar un ataque de negacin de servicio contra Hugo.
O, ms interesante, HUNT permitira el ARP spoofing, con lo cual se
enmascara el que los sistemas hayan estado desincronizados por un
momento!! ingenioso no?
RED
Hugo
Paco
Luis
ARP a.b.c.d se
encuentra en EE:EE
IP=a.b.c.d
MAC=AA:AA.
IP=w.x.y.z
MAC=BB:BB
IP=?.?.?.?
MAC=CC:CC
ARP w.x.y.z se
encuentra en DD:DD
Otras herramientas para el robo de
sesin
J uggernaut:
Permite el monitoreo de conexiones, insercin de comandos o robo de
la sesin.
Muy similar a HUNT, pero mucho ms peligrosa.
Disponible en: http://www.packetstormsecurity.org
TTYWatcher:
Muchas caracteristicas avanzadas (log, steal, watch, etc.).
Se ejecuta en el servidor final.
La aplicacin es muy amigable
Disponible en: http://www.mirrors.wiretapped.net/security/host-
security/ttywatcher/
IPWatcher:
Herramienta comercial (http://www.engarde.com).
Contiene una interfaz grfica agradable al usuario.
UNAM-CERT
Robo de sesin - IP Watcher
Session Hijacking:
- Ettercap.
Explotando el sistema.
Obteniendo acceso.
UNAM-CERT
Robo de sesin con Ettercap
Escrita por Alberto Ornaghi (ALoR) y Marco Valleri (NaGA).
Corre en Linux, FreeBSD y OpenBSD:
http://ettercap.sourceforge.net
Utiliza la captura pasiva:
Filtrando por IP o por direccin MAC.
Utiliza tambin la captura de trfico activa:
Usa tcnicas de ARP poisoning.
Las puedes combinar con Sniffit, Hunt, y partes de Dsniff, a
su vez con un poco de NMAP para robar sesinBuena
Suerte!!
Caractersticas de Ettercap
Permite la insercin de caracteres en diversos protocolos.
El robo de sesin funciona tambin para el SSH protocolo 1 en
modo full duplex.
Sirve como recolector de passwords para los servicios:
TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL,HTTP
Permite las caractersticas de obtencin de versin de sistema
operativo.
Permite matar sesiones.
Permite la creacin de plugins y filtros propios con una
interesante API.
UNAM-CERT
Usando Ettercap
Busca por sesiones activas
Despliega dichas sesiones
y su contenido
Protegindose del robo de sesin
Para redes crticas, manejar tablas estrictas de tramas ARP en todas las
mquinas.
Activar la opcin de seguridad por puertos en los switches.
Utilizar cominicaciones cifradas, asi como metodos de autenticacion
robustos, para todo aquel trfico considerado crtico en una red.
Desafortunadamente, si el servidor originario de la conexion se encuentra
comprometido, de nada servirn los mtodos de autenticacion y
comunicaciones cifradas, debido a que la sesin es robada en la mquina
origen.
Metodos de defensa:
Tener precaucin con las conexiones que entran a tu red.
Ser precavido en el manejo de sesiones a los componentes de tu
infraestructura:
No hacer telnet a tu firewall o a tu CA.
Utilizar mecanismos de comunicacion y autenticacion fuertes para su
manejo:
Se recomienda el uso de Secure shell (SSH) o una VPN
UNAM-CERT
Resumen robo de sesin
Nombre del ataque: Robo de sesin.
CVE#: S/N.
Protocolos: TCP/IP.
Descripcion: Es un tipo de ataque que permite a los
intrusos robar sesin, compartir
sesin, matar sesin, monitorear o
grabar cualquier sesin que se
encuentre en una terminal en ejecucin.
Session Hijacking:
- Ettercap.
Explotando el sistema.
Obteniendo acceso.
UNAM-CERT
DNS Cache Poisoning
Servidor de Nombres de Dominio (DNS).
Es un componente crtico de Internet.
Mapea los nombres a direcciones, entre otras cosas:
www.guel.org = 10.20.2.1
Servidor de correo arpa Guel??
mx.east.guel.orgInternet address=10.151.13.22
Es esto importante?
Te apuesto a que s lo ES!!!
Casi todos los negocios que se realizan por Internet,
no pudieran llevarse a cabo sin el uso de los DNS
<<Paul Albitz & Crickett Liu, autores del libro DNS y BIND>>
Una breve descripcin del DNS
Cmo trabaja el DNS?
Los clientes usan el servicio de 'resolucin de nombres' para
accesar a los servidores DNS.
La gran mayora de los servidores DNS es BIND (Berkeley
Internet Name Domain).
Los servidores DNS realizan mltiples enlaces entre ellos.
CLIENTE
Servidor de
Nombres local
Servidor de
Nombres Raiz
Servidor de
Nombres com
Servidor de
Nombres GUEL.com
www.guel.com
www.guel.com
Remitelo a com
Envialo a guel.com
La respuesta!!
10.106.240.15
www.guel.com
UNAM-CERT
Otras notas acerca del DNS
Notas adicionales del DNS:
Cada bsqueda del DNS tiene su queryID.
Este QueryID es algunas veces predecible, basndose en anteriores
QueryIDs.
De igual forma, para requerimientos de poco trfico, los servidores de
DNS contestarn con el cach almacenado.
Un ataque simple al DNS:
www.nasa.com
www.bobdole96.org O www.bushsucks.com
Veamos ataques ms interesantes.....
La herramienta jizz permite una ataque ms elaborado al DNS:
Utiliza la tcnica DNS cach poisoning.
Disponible en: http://www.packetstormsecurity.com
Este ataque y otros ms son implementados en Zodiac, escrito por scut y
smiler:
http://www.packetstormsecurity.com
Cmo trabaja el DNS Cach poisoning ??
Para conocer cmo trabaja, conozcamos a los jugadores :-)
1
2
6
5
4
3
Hugo, un feliz cliente
navegando por Internet slo
por curiosidad y di versin.
Nuestro maligno intruso,
vagando por Internet.
dns.bank.com, el servidor de
nombres del sitio Web al que
Hugo desea accesar.
dns.bueno.com, el servidor
de nombres del cual no
sospechamos.
dns.malo.com, el servidor de
nombres que se encuentra en
poder del intruso.
www.bank.com, el banco de
Hugo.
UNAM-CERT
Obteniendo el identificador QueryID DNS Cach
Poisoning
1
3 6
Hugo
dns.banco.com
www.banco.com
2
5
4
dns.bueno.com
Intruso malignno
dns.malo.com
1
2
3
otro.malo.com
otro.malo.com
Al macena
busqueda Query
ID #
Poisoning
Hugo
1
Hugo
6
www.banco.com
2
3
5
4
dns.bueno.com
Intruso malignno
dns.banco.com
dns.malo.com
4
6
5
www.banco.com ?
www.bank.com ?
7
Cache
www.bank.com=w.x.y.z
Robo en respuesta
www.banco.com
=w.x.y.z
UNAM-CERT
Poisoning
Hugo
dns.malo.com
2
Intruso malignno
3 6
5
dns.banco.com
dns.malo.com
www.banco.com
1
4
dns.bueno.com
Hugo
10
9
Entrando al Banco !!!
Cache
www.bank.com=w.x.y.z
w.x.y.z
8
www.banco.com ?
Protegiendose del atque DNS Cach
Poisoning
Utilizar mtodos de difcil prediccin de los QueryID:
Actualizar el BIND o Windows DNS.
Disponible en :
htp://www.isc.org
UNAM-CERT
Firmar los registros de forma digital:
sta es probablemente una solucin eventual -despus de todo DNSSec
ser desplegado algun da-.
Usar SSL(HTTPS) con autenticacin del lado del servidor para transacciones
importantes:
Involucra y lidia con la educacin del usuario.
Aunque no es parte de este exploit, protege tu servidor de DNS por salud
mental!!
Refuerza la seguridad de tu SO.
Firmar criptograficamente los archivos de la base de datos de tu DNS
(tripwire).
Utilizar sistemas de deteccin de intrusos.
Comerciales:
ISS Realsecure,Cisco Secure IDS (Antes Netranger),Network
Flight Recorder, Axent's NetProwler, Network security Wizards'
Dragon.
Gratuitos:
Snort,shadow, courney.
Protegindose del ataque DNS Cach
Poisoning
Resumen DNS Cach Poisoning
Nombre del ataque: DNS Cach Poisoning.
CVE#: S/N.
Protocolos: DNS
Descripcion: Es un tipo de ataque en la que el intruso
enva informacion falsa al servidor DNS
enlazndolo a un nombre de dominio
con la direccion IP del intruso; con
esto la vctima sin saber es
redireccionado al servidor Web errneo.
UNAM-CERT
Explotando el sistema
- Obteniendo acceso
- Ataques de Negacin de servicio
Ataques de Negacin de Servicio
Tipos de ataques sumamente incmodos, pero relevantes
Cariosamente se les conoce como ataques del tipo Dos
Como la arena de la playa o estrellas en el cielo
El numero de ataques de negacin de servicio se incrementa da
con da
Nunca elimines toda posibilidad de que sufras un ataque del tipo
Dos
Piensa en las avenidas (ancho de banda) y telfonos
(Direcciones IP)
Pero aun as puedes mantener excelentes defensas
Con un diseo efectivo
Manteniendo actualizados los sistemas al da
UNAM-CERT
Tipos de Ataques de Negacin de
Servicio
Categora de ataque de Negacin de Servicio
Detienen servicios Agotan Recursos
Se lanza un
ataque .
Localmente
Remotamente
A travs de la
Red
Mata Procesos
Reconfiguracin del
sistema
Tira los procesos
Expande procesos
hasta llenar la tabla
de procesos
Llena por completo
el sistema de
archivos
Inundacin de
paquetes(P. ej.
SYNFlood, Smurf,
Negacin de Servicio
Distribuido DDoS)
Ataques de
malformacin de
paquetes(P. ej. Land,
Bonk,etc.)
- Obteniendo acceso
Local Dos con CPUHOG
Ping of Death(Ping de la
Muerte)
Ataques directos al Broadcast
con Smurf
SYNFlood
Targa
Ataques de Negacin de
Servicio Distribuido DDoS con
TFN2k y Trin00
UNAM-CERT
CPU Hog
Nombre : CPU Hog
Sistema Operativo: Microsoft NT
Protocolos/servicios: Se aplican niveles de prioridad en diversas
aplicaciones
Descripcin: Un ataque del tipo Negacin de servicio puede
ocasionar que el sitema se colapse o pasme por consumir todos
los recursos
CPUHOG
Las aplicaciones pueden contener sus propios niveles de
prioridad
Las aplicaciones que se ejecutan con privilegios de
administracin tienen 32 niveles de prioridades
Las aplicaciones que se ejecutan con privilegios de
usuarios normales tiene 16 niveles de prioridad
Descripcin de Niveles de Prioridad
UNAM-CERT
Un ataque que deja el sistema inusable para los usuarios
vlidos del mismo
Puede ser causado de forma accidental o de forma
deliberada
Afecta a un gran rango de sistemas operativos incluyendo
ruteadores
Qu es un ataque del tipo DoS?
Una aplicacin puede tener el nivel de prioridad 16
NT responder que las dems aplicaciones tendrn
prioridad menor a 15
Debido a que la aplicacin permanece en la prioridad 16
ninguna otra aplicacin puede obtener el control
Descripcin detallada de CPUHOG
UNAM-CERT
A newprocess has been created:
NewProcess I D: 2154627104
I mage File Name: CPUHOG.EXE
Creator Process I D: 2155 646112
User Name: Eric
Domain: EricNT
Logon I D: (0x0,0x26CE)
The previous systemshutdown at 6:59 PM on 9/ 1/ 99 was
unexpected.
CPUHOG en Event Viewer
int WINAPI WinMain( HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{ MessageBox( NULL, "CpuHogV1.0\ n\ nCopyright
(C) 1996 Mark Russinovich\ n"
"http:/ / www.ntinternals.com", "CpuHog", MB_OK);
SetThreadPriority( GetCurrentThread(),
THREAD_PRI ORI TY_TI ME_CRI TI CAL );
while(1);
/ / never get here return 0;
}
Pseudocdigo de CPUHOG
UNAM-CERT
Las aplicaciones que son ejecutadas tendrn una prioridad
16
NT intentara dejar a las restantes aplicaciones niveles de
prioridad abajo del 15
El sistema puede responder con una falla momentnea o
simplemente detenerse
Sntomas de CPU Hog
Windows
1. Aplicar el service pack apropiado para tu sistema
1. Aplicar el parche distribuido por Microsoft
Asignarle al manejador de tareas nivel de prioridad 16
Como Protegerse de CPU Hog
UNAM-CERT
CPU Hog
http://www.microsoft.com/security
http://www.microsoft.com
http://www.neworder.box.sk
Informacin Adicional
UNAM-CERT
Resumen CPU Hog
Nombre del Ataque: Atacando aplicaciones de WEB
CVE#: S/N
Sistemas Afectados: Windows NT
Herramientas usadas: Windows NT
Protocolos: N/A Ataque local
Descripcin: Se pude causar un ataque de Negacin de
Servicio en un equipo Windows NT
consumiendo una gran cantidad de
recursos, provocando la cada del sistema
- Obteniendo acceso
Ping of Death(Pingde la
Muerte)
con Smurf
SYNFlood
Targa
TFN2k y Trin00
UNAM-CERT
Nombre: Ping de la Muerte (Ping of Death)
CVE NUM: CVE-1999-0128
Sistema Operativo: Afecta a casi todos los sistemas operativos
Protocolos/Servicios: ICMP Ping
Descripcin: Un ataque del tipo Negacin de Servicio puede
ocurrir si varias tramas no vlidas son enviadas al servidor.
Ping de la Muerte
Descripcin-Ping de la Muerte
ICMP (Internet Control Message Protocol)
Opera a nivel de la capa de red dentro del modelo OSI. Este
protocolo es usado para el manejo de errores y el intercambio
de control de mensajes. Un programa que normalmente usa
este protocolo es Ping.
Ping es usado para verificar si hay respuesta de los equipos
Una peticin del tipo ICMP es enviada a la mquina y si la
mquina la recibe, esta enva un paquete de contestacin
Descripcin de Ping de la Muerte
UNAM-CERT
Qu es un ataque de Dos?
Un ataque de Negacin de servicio se refiere a la negacin de
los recursos y servicios del sistema hacia los usuarios vlidos.
Puede ser causado de forma deliberada o de forma accidental
Afecta a una gran variedad de sistemas operativos, incluyendo
ruteadores, sistemas operativos, programas, etc.
Qu es un ataque de DoS?
Enva grandes paquetes que puede causar pnico en el
sistema, provocando consecuentemente la cada del
sistema
Ping l 65527
Descripcin Detallada
UNAM-CERT
Impacto en las mquinas NT
STOP:0X0000001E KMODE_EXCEPTION_NOT_HANDLED
TCPIP.SYS
STOP: 0XOOOOOOOA IRQL_NOT_LESS_OR_EQUAL

TCPIP.SYS
Impacto en Mquinas NT
Conexin Ping entre mquinas
Pinging 10.159.90.17 with 32 bytes of data: Reply from
10.159.90.17: bytes=32 time=4ms TTL=255 Reply from
10.159.90.17: bytes=32 time=2ms TTL=255 Ping statistics
for 10.159.90.17: Packets: Sent = 4, Received = 4, Lost = 0
(0% loss), Approximate round trip times in milli-seconds:
Minimum= 2ms, Maximum= 4ms, Average = 2ms
UNAM-CERT
ping l 500 10.159.90.17
Pinging 10.159.90.17 with 500 bytes of data: Reply from
10.159.90.17: bytes=500 time=3ms TTL=255 Ping statistics for
10.159.90.17: Packets: Sent = 4, Received = 4, Lost = 0 (0%
loss), Approximate round trip times in milli-seconds: Minimum=
3ms, Maximum= 3ms, Average = 3ms Notice nowthat the
packet size is 500 bytes instead of the default 32 bytes.
Ejecucin del Ataque
10:03:14..690000 192.168.15.5 > 192.168.20.10: icmp: echo request (frag
11267:1480@0+)
10:03:14.690000 192.168.15.5 > 192.168.20.10: (frag 11267:1480@1480+)
10:03:14.690000 192.168.15.5 > 192.168.20.10: (frag 11267:1480@5920+)
10:03:14.690000 192.168.15.5 > 192.168.20.10: (frag 11267:1480@7400+)
10:03:14.690000 192.168.15.5 > 192.168.20.10: (frag 11267:1480@8880+) ........
10:03:14.740000 192.168.15.5 > 192.168.20.10: (frag 11267:1480@65527)
UNAM-CERT
Probar el comando ping ya que es un estndar en todos los
sistemas operativos, usando dichas peticiones en un tercero
En Windows
ping -l 65527 [DIR_IP]
En Unix
ping s 65527 DIR_IP
Pseudo Cdigo
Aplicar los parches correspondientes para cada sistema.
En algunos sistemas Linux el sistema a nivel kernel ya viene
parchado y esta vulnerabilidad no afecta a partir de los kernels
2.0.3X
Bloquear dichas peticiones en ruteadores
Cmo protegerse ?
UNAM-CERT
http://www.cert.org
http://www.microsoft.com
Resumen Ping de la Muerte
Nombre del Ataque: Ping de la Muerte
CVE#: S/N
Sistemas Afectados: Una amplia variedad
Herramientas usadas: Una amplia variedad
Protocolos: ICMP
Descripcin: Grandes paquetes ICMP fragmentados
pueden causar cadas abruptas del
sistema en aquellos sistemas que no se
encuentren protegidos
UNAM-CERT
- Obteniendo acceso
Muerte)
Ataques directos al
Broadcast con Smurf
SYNFlood
Targa
TFN2k y Trin00
Nombre: Smurf
Sistema Operativo: Afecta a casi todos los sistemas operativos y
ruteadores
Protocolos/Servicios: ICMP Ping
Descripcin: Un ataque del tipo negacin de servicio puede ocurrir
si son enviados paquetes y stos son forzados a todas las
direcciones broadcast de la red.
SMURF
UNAM-CERT
ICMP (Internet Control Message Protocol)
Opera a nivel de la capa de red dentro del modelo OSI. Este
protocolo es usado para el manejo de errores y el intercambio
de control de mensajes. Un programa que normalmente usa
este protocolo es Ping.
Ping es usado para verificar si hay respuesta de los equipos
Una peticin del tipo ICMP es enviada a la mquina y si la
mquina la recibe, esta enva un paquete de contestacin
Descripcin SMURF
Es una direccin que es usada para enviar paquetes a todos los
equipos dentro de un segmento de red
Usualmente enva paquetes a un grupo de direcciones
Por ejemplo, las direcciones IP Broadcast para la red 12.0.0.0
son 255.255.255.255
Qu es una direccin Broadcast?
UNAM-CERT
Un ataque del tipo Smurf forza a la direccin origen el envo de
paquetes ping para que les sean enviadas las direcciones
broadcast
Esto origina que dichas direcciones reciban una gran cantidad
de tramas de contestacin (pings) como respuesta ocasionando
una saturacin de recursos
Se lleva a cabo entre dos vctimas
Descripcin Detallada
Usando paquetes del tipo UDP
Reescritura del smurf
Descripcin de Variantes de SMURF
UNAM-CERT
Una notable degradacin del rendimiento de la red
Una gran cantidad de peticiones o contestaciones del tipo ICMP
Peticiones del tipo ICMP son enviadas a las direcciones
broadcast
Sntomas de SMURF
1. Soluciones para Intermediarios
Desactivar Direcciones IP broadcast en el ruteador
Configurar el Sistema operativo para evitar las peticiones y
contestacin de peticiones del tipo ICMP
1. Soluciones para la vctima
1. No hay soluciones fciles
2. Posible bloqueo en el ruteador
Cmo protegerse de SMURF?
UNAM-CERT
Cdigo Fuente - http://www.insecure.org
http://neworder.box.sk
http://hackersclub.com
Pseudocdigo
1. Generacin de paquetes del tipo ICMP con direcciones
origen robadas
2. Envo de broadcast a las direcciones de la red
Pseudocdigo de SMURF?
http://www.cert.org
http://www.phrack.com
http://users.quadrunner.com/chuegen/smurf.txt
http://www.cisco.com
UNAM-CERT
Resumen SMURF
Nombre del Ataque: Smurf
CVE#: S/N
Sistemas Afectados: Cualquier Sistema
Herramientas usadas: Diversas variantes de UNIX
Protocolos: ICMP, UDP
Descripcin: A travs del uso de paquetes dirigidos la
broadcast el intruso provocara un alto
consumo en el ancho de banda de su
posible victima
- Obteniendo acceso
Muerte)
con Smurf
SYNFlood
Targa
TFN2k y Trin00
UNAM-CERT
Nombre: SYN Flood
Variantes : Ninguna
Sistema Operativo: Afecta a casi todos los sistemas operativos
Protocolos/Servicios: IP
Descripcin: Un ataque del tipo negacin de servicio puede
ocurrir si el intruso abre una gran cantidad de conexiones del
tipo half open basadas en el TCP/IP
SYN Flood
1. Los paquetes TCP/IP son usados para enviar informacin a
travs de la red
1. TCP usa el mtodo de tres vas para abrir una conexin:
1. A enva un paquete del tipo SYN a B
2. B le enva un paquete del tipo SYN-ACK de regreso a A
3. A le enva un paquete del tipo ACK de regreso a B
Descripcin SynFlood
UNAM-CERT
Un ataque de Negacin de servicio se refiere a la negacin de
los recursos y servicios del sistema hacia los usuarios vlidos.
Puede ser causado de forma deliberada o de forma accidental
Afecta a una gran variedad de sistemas operativos, incluyendo
ruteadores, sistemas operativos, programas, etc.
Qu es un ataque de DoS?
El intruso enva un paquete SYN a la vctima, pero no le
contesta con el paquete SYN-ACK( roba la direccin origen)
La maquina victima tiene un nmero finito de conexiones
abiertas que puede manejar
El intruso deja las conexiones half-open abiertas hasta que
sature a la mquina de la vctima
Descripcin detallada
UNAM-CERT
Una gran cantidad de conexiones abiertas, incluso desde la
misma direccin o de diversas direcciones.
Sntomas de SYNFlood
Aplicar los filtros en ruteadores
Usar Netstat para verificar el trafico en los equipos y verificar el
tipo de trfico
Cmo protegerse ?
UNAM-CERT
Cdigo Fuente - http://hackersclub.com
http://anticode.com- synful.c y synk4.c, SYN Flooders
Pseudocdigo
1. Envo inicial de paquetes del tipo SYN - TCP/IP a la
mquina y no contesta con paquetes de regreso SYN-
ACK desde la victima
Pseudo-Cdigo
http://www.cert.org
http://www.hackersclub.com
http://www.anticode.com
http://www.cisco.com
UNAM-CERT
Resumen SYNFlood
Nombre del Ataque: SYNFlood
CVE#: CVE-1999-0116
Sistemas Afectados: Cualquier Sistema
Herramientas usadas: Diversas Sistemas Operativos
Protocolos: IP, particularmente TCP
Descripcin: Se puede provocar un ataque de negacin de
servicio que ahogue a los sistemas con peticiones validas causando
un alto consumo de ancho de banda.
- Obteniendo acceso
Muerte)
con Smurf
SYNFlood
Targa
TFN2k y Trin00
UNAM-CERT
Descubierto en junio de 1999, por Mixter
Disponible en http://www.rootshell.com
Trabaja en conjunto los ataques:
Bonk
J olt
Land
Nestea
Newtear
Syndrop
Teardrop
winnuke
Targa
Todo en un solo Paquete!!! No es grandioso!! :-/
Actualmente, solo contiene el cdigo con un wrapper que
funciona como lanzador del ataque contra las victimas
No obstantees demasiado peligrosa
Targa
UNAM-CERT
Debes protegerte contra ataques de negacin de servicio de
forma individual
Mantn tus sistemas actualizados, ltimos parches, etc, etc.
Cerrar los servicios no necesarios en tu sistema
Implementar filtros anti-spoof en redes criticas.
Protegindose contra Targa
Resumen Targa
Nombre del Ataque: Targa Denial of Service
CVE#: N/A
Sistemas Afectados: Cualquier Sistema con conexin IP
Herramientas usadas: Linux
Protocolos: IP
Descripcin: Se puede provocar un ataque de negacin de
servicio a travs del envo de paquetes mal formados que provoquen
la cada del sistema.
UNAM-CERT
- Obteniendo acceso
Muerte)
con Smurf
SYNFlood
Targa
Servicio Distribuido DDoS
con TFN2k y Trin00
ANIMACION de ATAQUES DDOS usando Trin00 y TFN2k
Ataques DDoS usando TFN2k, Trin00
UNAM-CERT
Resumen Ataques Distribuidos de
Negacin de Servicio
Nombre del Ataque: Ataques distribuidos de Negacin de Servicio
CVE#: CAN-2000-0138
Sistemas Afectados: Cualquier Sistema con conexin IP
Herramientas usadas: Linux y otros
Protocolos: IP
Descripcin: Se puede provocar un ataque de negacin de servicio
que consuman el ancho de banda de cualquier red.
Tiempo de Break
UNAM-CERT
Auditora de Seguridad en Red
Auditar es el proceso de medir los procedimientos
contra las polticas o estndares.
Es, en esencia, medir los procedimientos contra un
estndar, por ejemplo, cuando la Oficina de
Impuestos enva un auditor a examinar los registros
de impuestos, ste medir respecto la aplicacin del
cdigo de impuestos vigente y utilizar como
herramienta de trabajo los registros de impuestos:
facturas, deducibles, etc.
Qu es una Auditora en TI?
UNAM-CERT
En seguridad en cmputo es un registro cronolgico
del uso de los recursos, acceso de usuarios, acceso
de archivos y otras actividades, incluyendo cualquier
intento de violacin de la seguridad.
Trazas de Auditora
Baselines.
TBS.
Checklists.
Buenas prcticas.
Estndares de Seguridad.
Tipos de Auditora
UNAM-CERT
El concepto es realmente simple, adems es fcil de
aplicar en cualquier situacin y debe medir las tareas que
deben ser evaluadas. De forma esencial, un baseline es
una fotografa instantnea del sistema o de la red en un
momento considerado seguro y operativo.
Baselines
Medir el estado que guarda un sistema.
Un baselines debe ser confiable.
Compara al estado actual del sistema.
Herramienta excelente de auditora.
Baselines
UNAM-CERT
Medir el promedio del trfico en la organizacin.
Tendremos dos alcances:
Medir trfico en los segmentos.
Medir trfico en Zonas Claves.
Baselines sobre trfico de red
El reto en la generacin de baseline de red, consiste en
identificar los incrementos de uso de ancho de banda
antes de llegar a sobresaturarse, de igual forma, este
baseline ayudar a identificar pequeos cambios en los
perfiles de uso de recurso por sistema en la red, estas
variaciones deben permitir identificar actividad inusual
por sistema y detectar en lo posible una intrusin en los
sistemas.
Baselines sobre trfico de red
UNAM-CERT
Baseline sobre trfico de red
Qu es lo que debe medirse?
TCP bytes.
UDP bytes.
ICMP bytes.
IPv4
IPv6
Otro.
FTP.
VPN.
DNS.
Web.
Correo
Baseline sobre trfico de red usando MRTG
UNAM-CERT
IDS estadstico
Monitorear trfico contra tiempo.
Desarrollar perfiles por equipos (switchs,
FWs, routers)
Generar alertas cuando variables del
trfico excedan los perfiles.0
Baseline en accin
Anlisis de seguridad para nuevas tecnologas.
Mide qu tan seguro es.
Es repetible.
Es auditable.
Time Based Security
UNAM-CERT
TBS estructura una defensa escalonada, la motivacin
es generar un entorno tolerante a las intrusiones,
donde se pueda reconocer a los grupos interesados en
comprometer alguna parte de nuestra defensa.
Time Based Security mide cunto toma en las mejores
y peores circunstancias responder a un ataque, de
forma que ayuda a identificar donde estn las
debilidades de la estrategia de defensa.
Time Based Security
TBS
Identificar los ataques que comprometen el sistema.
Qu tanto estn expuestos los sistemas.
Cunto tiempo est expuesto o comprometido.
Cunto tardamos en responder.
TBS
- Defensa escalonada -
UNAM-CERT
P = Cunto tiempo permanece intacta.
D = Cunto tiempo toma detectar un ataque.
R = Cunto tiempo toma responder.
P > D + R
Frmulas TBS
Suponga el siguiente escenario de un robo en una
galera de arte:
Toma 10 minutos romper los candados y robar una
pintura de la galera de arte.
Toma 5 minutos a los guardias detectar el robo.
Toma 2 minutos llamar a la polica.
Toma 2 minutos a la polica enviar una patrulla.
Toma 2 minutos llegar a la galera.
Etctera.
Tiempos TBS
Ejemplo
UNAM-CERT
Bajo este esquema, la alarma funcion correctamente, la
polica respondi, entonces Qu sali mal?
(P) 10 < (D)5 + (R)6
En general el esquema funcion, pero realmente son
resultados que no sirven, ya que generan una respuesta
fuera de los tiempos requeridos por un TBS.
Siguiendo con el ejemplo, probablemente sea claro que
poco puede hacer la organizacin para acelerar el
tiempo de respuesta por parte de la polica, sin
embargo, puede identificar que el tiempo de deteccin
est muy por arriba de lo requerido para mantener la
desigualdad en niveles aceptables, entonces, puede
concluirse que la organizacin debe invertir en los
sistemas de alarmas.
UNAM-CERT
Checklist incluyen D & R estimados.
Incluir columnas de promedios en D & R.
Incluir columnas del peor caso de D & R.
Reporte de auditora debe incluir sugerencias sobre
cmo reducir D & R.
Auditora TBS
Proceso de auditora
UNAM-CERT
El trabajo de un auditor es medir procesos o sistemas
especficos con base en las mejores prcticas de la
industria y proveer un reporte objetivo.
Objetivo principal del auditor
Plan de auditora.
Requerimientos de Informacin.
Evaluacin.
Preparacin del reporte.
Reporte tcnico.
Presentacin de Resultados.
Proceso de 6 pasos
UNAM-CERT
Investigacin.
Definir alcances.
Determinar estrategias de auditora.
Generar checklist.
Formular el procedimiento de auditora.
Plan de auditora
Dnde obtener informacin?
Polticas de la organizacin.
Mejores prcticas
Entornos de auditora.
Plan de auditora (investigacin)
UNAM-CERT
Quin determina?
Auditores.
Administradores.
Flujo de informacin.
Plan de auditora (alcance)
La investigacin dice qu.
La estrategia responde cmo.
Plan de auditora (estrategia)
UNAM-CERT
Quin es el contacto?
Qu Documentacin solicitar?
Qu no se debe hacer?
Requerimientos de Informacin
Integridad.
Profesional.
Enfoque.
Razonable.
Evaluacin
UNAM-CERT
Resumen ejecutivo.
Claro y conciso.
Secuencia lgica.
Correccin de estilo.
Preparacin del reporte
Alcance.
Estado de la infraestructura.
Descripcin de los riesgos e impactos.
Conclusiones.
Presentacin de Resultados
UNAM-CERT
ToolKit para Auditar Redes
Cualquier toolkit de herramientas debe proveer como
mnimo las siguientes capacidades:
Scanner de Red. (nmap)
Snnifer de Red. (TcpDump)
Test de penetracin. (nessus).
Qu herramientas utilizar?
UNAM-CERT
-Network map-
Donde obtenerlo:
Unix:
http://www.insecure.org
Windows:
http://www.eeye.com/html/Databases/Software/nmapnt.html
Caractersticas:
Herramienta de barrido de puertos.
Detecta hosts, servicios y SO.
Diversos tipos de barridos (TCP, UDP, ICMP, stealth, RPC.
Reportes ASCII
Nmap
-sniffer-
Donde obtenerlo:
Unix:
http://www.tcpdump.org
Windows:
http://netgroup-serv.polito.it
Caractersticas:
Sniffer de Red.
Informacin detallada sobre cada paquete.
Interfaz de Red configurable.
Base para los modernos IDS.
Tcpdump
UNAM-CERT
-Penetration Test-
Donde obtenerlo:
Unix:
http://www.nessus.org
Caractersticas:
Scanner de vulnerabilidades.
Deteccin inteligente de servicios.
Arquitectura Cliente-Servidor.
Anlisis de penetracin.
Nessus
1. Debe existir un servicio vulnerable
2. Debe existir un exploit disponible
para este servicio.
3. El firewall debe permitir acceso a
este servicio.
Exploit
Puertos a
travs del FW
Servicios
Vulnerables
Nmap
Condiciones para una Intrusin
remota
UNAM-CERT
Ejecutar scanners de vulnerabilidades.
Comprobar las vulnerabilidades.
Generar un reporte extenso.
Resolver las reas problemticas.
Esto es suficiente?
Reduccin del Riesgo.
Identificar los huecos en la
proteccin perimetral.
Generar mapas de red externos:
DMZ.
HSZ
Genera mapa de red interno:
DMZ
HSZ
Internet
Exploit
Puertos a
travs del FW
Servicios
Vulnerables
Eliminar huecos de
seguridad
Qu se puede hacer?
UNAM-CERT
1
3
4
5
6
7
D
M
Z
HSZ
Internet
1. Identificar reas de
responsabilidad.
2. Determinar riesgos.
3. Auditar las reglas de
firewalls
4. Auditar DMZ
5. Auditar servicios de
acceso a HSZ
6. Auditar servicios que
salen de HSZ
7. Detectar patrones de
riesgos.
7 pasos de la auditora
1. Determinar reas responsables.
2. Investigar vulnerabilidades y Riesgos
3. Mejorar seguridad perimetral.
4. Mejorar seguridad en DMZ.
5. Eliminar vulnerabilidades de acceso.
6. Eliminar vulnerabilidades internas.
7. Instaurar seguridad proactiva
Consecuencias de la Auditora de Red
UNAM-CERT
Una amenaza es una circunstancia, condicin o un
evento que potencialmente puede causar dao a
personas y/o recursos de una red en forma de
destruccin, alteracin, negacin de servicios, entre
otras.
Riesgos/Amenazas
Ataque externo a travs de la red de cmputo.
Ataque externo a travs de red telefnica
Ataque interno a travs de la LAN.
Ataque a sistemas locales.
Ataque mediante cdigo malicioso.
Vectores de amenazas
UNAM-CERT
Las vulnerabilidades son la compuerta a travs de la cual
las amenazas se convierten en perdida, destruccin, etc.
Las vulnerabilidades pueden existir en diversos lugares:
Red.
Sistemas.
Aplicaciones.
Polticas y Procedimientos.
Vulnerabilidades
Personal de TI.
Experto externo.
Alguien que:
Entienda que se necesita hacer.
Entienda el impacto en los recursos.
Cuente con la autorizacin suficiente.
La diferencia entre un Oficial de
seguridad del sistema y un
hacker es...
!!Contar con autorizacin
La diferencia entre un Oficial de
seguridad del sistema y un
hacker es...
Evaluacin de Vulnerabilidades.
Quin podr ayudarnos?
UNAM-CERT
Identificar que es vulnerable y/o como puede afectarse.
Demostrar las exposiciones a ciertos vectores de
amenazas.
Proporcionar informacin para integral al Anlisis de
riesgo.
Demostrar como administra de forma ms eficiente y
segura los recursos de cmputo.
Importancia de la evaluacin
Llegan a ser intensivas y aun as pueden tomar mucho
tiempo.
Los resultados de una auditora pueden ser
abrumadores.
Las falsas alarmas son el principal problema.
Las auditoras son difciles de
realizar...
UNAM-CERT
-Fuente de informacin fiable.
-Representa la configuracin administrativa.
-Proporciona informacin evidente sobre
activos/amenazas
Diagramas de red de cmputo
- importante auxiliar -
Una herramienta para obtener una visin previa de la
distribucin de posibles amenazas.
Direccin IP
Puertos TCP UDP
1 1 0
2 1 0
3 0 1
... ... ...
65535 0 1
2D
Puerto
s
Protocolos
Matriz de puertos/protocolos
UNAM-CERT
Una matriz 3D puede representar el nmero total
de vulnerabilidades en la red.
La matriz de la red representa el espacio total
sobre el cual se tiene responsabilidad.
Ejemplo:
Red clase C
254 ip * 2 prot * 65535 puertos
puertos
protocolos
direcciones ip
3D
Matriz IP/puertos/protocolos
Obtener la autorizacin en primer lugar.
Elabora un documento donde se declaren los principios
o polticas de la auditora
Asegurar que la organizacin entienda el riesgo de la
auditora, la posibilidad de un crash.
Escribir los recordatorios sobre la auditora:
J efe depto. TI.
Sysadmin.
ISP
La diferencia entre un analista
de seguridad y un hacker es...
La diferencia entre un analista
de seguridad y un hacker es...
Autorizacin
UNAM-CERT
Determina el espacio de direcciones:
Consultar a ISP.
NOC.
DNS.
Diagrama de Red.
Servicios Whois
1.- Definiendo responsabilidad
- Primer paso -
Obtener informacin de los sysadmin sobre las posibles
excepciones:
Sistemas de terceros.
Sistemas crticos.
Puntos de choque.
Identificar excepciones
UNAM-CERT
Realizar un mapa real sobre los sistema que son
detectados y compararlos con la informacin
proporcionada por lo sysadmin.
Tcnicas bsicas para desarrollar el mapa:
ICMP
TCP ACK
Este mapeo previo debe realizarse desde un punto
interno de la red.
Determinar el tamao real de la Red
NMAP puede configurarse para realizar esta primera
tarea (descubrir la cantidad de hosts existentes)
Esta herramienta permite utilizar los dos mtodos de
deteccin de hosts (icmp, TCP ack).
[root]# nmap sP 192.168.1.0
Determinar el tamao real de la Red
UNAM-CERT
-P0 No ejecuta ping.
-PT <port> TCP ping.
-PI ICMP ping.
-PB [default] TCP & ICMP ping.
-PS <port> TCP syn.
Recomendable usar P0 en caso de
detectar que el permetro bloquea el
protocolo ICMP
Recomendable usar P0 en caso de
detectar que el permetro bloquea el
protocolo ICMP
#nmap sP PT23 192.168.0.*
configuraciones de nmap para ping scan
En este momento debe contarse con una visin
preliminar del edo. de la Red.
Cul es el riesgo? qu podra pasar si los sistemas
crticos fueran comprometidos?
Cmo podra ser atacada la Red Local desde el
internet?
2.- Determinar Riesgos
UNAM-CERT
Consultar historiales sobre las vulnerabilidades
existentes:
http://www.securityfocus.com
http://www.cert.org.
http://cve.mitre.org
http://www.sans.org
Investigar sobre las amenazas
nmap
tcpdump
Sistema
externo
Sistema
interno
Al realizar las pruebas de las polticas del firewall debe
contarse con un par de sistemas en ambos lados del
firewall, para eliminar la posibilidad de falsas alarmas, y
para obtener evidencias de los test.
Configuracin de Anlisis
UNAM-CERT
El sistema interno de captura (tcpdump) proporcionar
las evidencias necesarias para determinar los problemas
de configuracin del FW.
tcpdump
internet
#tcpdump n w /log/tcp_firewall_scan.dat src host externalhost and dst host internalhost
#tcpdump n w /log/tcp_firewall_scan.dat src host externalhost and dst host internalhost
Capturando evidencia de la penetracin
El firewall es el primer elemento que puede eliminar un
ataque.
Excelente herramienta para reducir
exposiciones de forma inmediata
Niega cualquier cosa, accesos por
excepcin.
Algunas organizaciones requieren de
polticas de firewall abiertos
3.- Asegurando el permetro
UNAM-CERT
Validando las Reglas del Firewall
Mapeo icmp.
Servicios a travs del FW.
Mapeo furtivo.
Las reglas de un firewall deben
negar cualquier servicio, los
requeridos sern aadidos.
Las reglas de un firewall deben
negar cualquier servicio, los
requeridos sern aadidos.
Filtrado de paquetes
El filtrado de paquetes,
es implementado en las
capas inferiores (3,4) del
modelo osi, por lo cual su
respuesta suele ser muy
limitada: interrupcin
silenciosa, un paquete
RST o un mensaje ICMP
administrativo.
Syn 111/tcp
ICMP admin
prohibited
UNAM-CERT
Proxy
Las Soluciones proxy son
implementadas en las capas
superiores (5-7) del modelo,
estos dispositivos
regularmente responden
SYN/ACK si el puerto est
cerrado.
!!Cuidado los Proxy generan
falsas alarmas!!
Syn 111/tcp
Syn/ack 111/tcp
Para lograr que un paquete
traspase regularmente se requiere
un barrido de conexin TCP (-sT)
Para lograr que un paquete
traspase regularmente se requiere
un barrido de conexin TCP (-sT)
Muchas de las tcnicas avanzadas de mapeo toman
ventaja de las reglas de los ruteadores.
Los ruteadores proporcionan informacin ICMP:
Paquetes expiran durante la transicin.
Sistemas o hosts son:
Alcanzados.
Filtrados.
Los mensajes ICMP permiten generar mapeo inverso
Atencin con los ruteadores
UNAM-CERT
No completa los tres pasos del handshake
SYN/ACK indica un puerto abierto.
RST indica un puerto cerrado.
nmap sS p1-1024 tcpdump.host
Escaneo TCP SYN. (-sS)
nmap
tcpdump
Sistema
externo
Sistema
interno SYN
SYN/ACK
Escenario 1
Paquetes SYN del sistema externo son
capturados por tcpdump
UNAM-CERT
nmap
tcpdump
Sistema
externo
Sistema
interno SYN
SYN/ACK
Intntelo utilizando un
barrido conexin TCP
Intntelo utilizando un
barrido conexin TCP
Escenario 2
Paquetes SYN del sistema externo NO
son detectados por tcpdump
Barridos en modo: FIN, Xmas Tree, Null scan
Puertos cerrados responden con paquetes RST
Puertos abiertos ignoran los paquetes.
#nmap P0 sF p 23
Escaneos ms sigilosos.. (-sF sX sN)
UNAM-CERT
Esta tcnica es utilizada para atravesar algunos tipos de
firewall.
Evitar ser detectados por IDS.
El barrido es ensamblado del otro lado del firewall.
PAQUETE
P
A
Q
U
E
T
E
P
A
Q
U
E
T
E
PAQUETE
La opcin f de NMAP genera
fragmentacin de paquetes
La opcin f de NMAP genera
fragmentacin de paquetes
Fragmentacin de paquetes
1. Asegurar que el sistema interno tcpdump se
encuentre en ejecucin.
2. Ejecutar nmap con opciones sigilosas, atravesando
el firewall.
#nmap sS f p 80 tcpdump.host
#nmap sF p 80 tcpdump.host
#nmap sX p 80 tcpdump.host
#nmap sN p 80 tcpdump.host
Realizando exploraciones sigilosas
UNAM-CERT
Espera... esto no significa nada an, se requiere
garantizar que existe una forma de explotarlo.
Determina las condiciones en las cuales los paquetes
lograron traspasar el firewall.
Si algn mtodo de exploracin sigilosa
fuera exitoso
Excelente forma para determinar el tipo de trfico que se
est permitiendo salir.
tcpdump
nmap
Sistema
externo
Sistema
interno
Ejecuta un barrido de puertos en
direccin contraria
UNAM-CERT
UDP representa el mismo problema de seguridad que
TCP.
Nmap permite realizar este barrido.
UDP no realiza confirmacin de datos.
Un ICMP port unreachable indica puerto cerrado
Es un barrido bastante lento.
#nmap P0 sU p111,6667 tcpdump.host
Repetir acciones para UDP
Recuerde que el firewall es el primer mecanismo para
evitar un ataque.
Elaborar un reporte verdico e inteligente sobre los
datos encontrados.
Proponga un conjunto de recomendaciones basadas en
las necesidades de la organizacin.
Asegurar el Permetro
UNAM-CERT
La DMZ es la zona entre el firewall y el ISP, otra
defincin sobre la DMZ, establece que es una tercera
zona configurada en una interfaz del firewall.
D
M
Z
Internet
D
M
Z
Internet
4.- Asegurando la DMZ
Regularmente la DMZ es una subnet de la red.
Determinar los sistemas que pertenecen a la DMZ.
Estos servidores son regularmente de misin crtica.
Determinar los servicios esenciales para cada tarea de
los sistemas.
La opcin sP determina va icmp
los hosts existentes.
La opcin sP determina va icmp
los hosts existentes.
Identificar servidores en DMZ
UNAM-CERT
Consulta con los sysadmin sobre los servicios que deben
existir en cada servidor.
Determina cuales seran realmente los servicios
necesarios.
Establece un esquema mnimo de seguridad bastion -
#nmap sT p1-65535 O oM ./nmap/exter/e_tcp_dmz.nmpa 192.168.1.*
#nmap sU p1-65535 O oM ./nmap/exter/e_udp_dmz.nmpa 192.168.1.*
#nmap sT p1-65535 O oM ./nmap/exter/e_tcp_dmz.nmpa 192.168.1.*
#nmap sU p1-65535 O oM ./nmap/exter/e_udp_dmz.nmpa 192.168.1.*
Analizar los resultados
Asegura que no existan
servicios extras innecesarios en
los sistemas en la DMZ.
No hay lugar para la duda,
ante todo verifica nuevamente
los datos obtenidos.
Verificar informacin
UNAM-CERT
Identificar a travs de exploracin de vulnerabilidades
cuales son los problemas a eliminar.
En este momento el equipo de auditora conoce las
polticas del firewall, por lo cual no es necesario generar
ms trfico a travs del firewall con nuevos barridos de
puertos.
Nlog permite obtener una base de datos ms
comprensible de la informacin
Nlog permite obtener una base de datos ms
comprensible de la informacin
5.- Eliminar vulnerabilidades de
acceso
Ok... Existen servicios vulnerables pero pueden ser
explotados.
Investigar en fuentes confiables sobre los exploit
existentes y comentarios sobre estos.
http://www.securityfocus.com/
http://www.unam-cert.unam.mx/
Verificar la certeza de los datos.
Vulnerabilidad explotable
UNAM-CERT
Diagrama Interno.
Deteccin de cambios en la Infraestructura interna de
Red.
Verificacin de Vulnerabilidades.
6.- Eliminar Vulnerabilidades Internas
El diagrama auxiliar a realizar el anlisis de
seguridad.
Facilitar cualquier trabajo de deteccin de intrusos.
Identificar cambios vlidos e invlidos en la Red.
Nuevos sistemas.
Puertos.
Considere la opcin T de nmap es lenta pero evita
impactar los recursos de cmputo.
Considere la opcin T de nmap es lenta pero evita
impactar los recursos de cmputo.
Diagrama Interno de Red
UNAM-CERT
Identifique los tipos de
sistemas existentes en la
red.
Agrupe por sistemas
homogneos.
Exploracin inteligente y
dirigida de vulnerabilidades.
Exploracin interna de Vulnerabilidades
Este proceso es similar a
buscar servicios
vulnerables.
Obtener una lista
confiable de puertos
relacionados a troyanos.
NMAP
NESSUS
7.- Identificar Cdigo Malicioso
UNAM-CERT
Tiempo de Break
Elementos de Auditoria de
Ruteadores
UNAM-CERT
Funciones del Ruteador
Internet
Villano. Protector.
Access-list 105 deny ip host 127.0.0.1 any
127.0.0.1 es la direccin de localhost o interfaz de
loopback, esta no puede ser mapeada en tu red.
127.0.0.1 es la direccin de localhost o interfaz de
loopback, esta no puede ser mapeada en tu red.
Ruteador como elemento de
proteccin
UNAM-CERT
16:21:36.80000 localhost> 192.168.1.34: icmp: source quench
Este ataque es llamado super source quench, algunos sistemas pueden
ser vulnerables ya que implementan erroneamente o no implementan esta
proteccin y bajo peticiones sobre el campo de control messages puede
provocar que los sistemas se pasmen, sin embargo, este tipo de ataques
puede ser controlado a travs del firewall o del ruteador.
Este ataque es llamado super source quench, algunos sistemas pueden
ser vulnerables ya que implementan erroneamente o no implementan esta
proteccin y bajo peticiones sobre el campo de control messages puede
provocar que los sistemas se pasmen, sin embargo, este tipo de ataques
puede ser controlado a travs del firewall o del ruteador.
Ruteador como el villano
Ruteador como proteccin
Internet
UNAM-CERT
access-list 105 deny icmp any any
El Internet Control MessagingProtocol (ICMP)
puede ser bloqueado de diversas formas, por ejemplo
puede ser configurada la regla anterior para eliminar
dicho servicio a travs del ruteador.
El Internet Control MessagingProtocol (ICMP)
puede ser bloqueado de diversas formas, por ejemplo
puede ser configurada la regla anterior para eliminar
dicho servicio a travs del ruteador.
Ruteador como proteccin
Soporte de Reglas
El ruteador es el componente ideal para anular un ataque
smurf ya que el ruteador es ms rpido que el firewall
El ruteador es el componente ideal para anular un ataque
smurf ya que el ruteador es ms rpido que el firewall
Internet
UNAM-CERT
Soporte de Reglas
Internet
Al auditar las polticas de seguridad de la red es
importante verificar las reglas del ruteador y del firewall.
Al auditar las polticas de seguridad de la red es
importante verificar las reglas del ruteador y del firewall.
SMTP
FTP
HTTP
Funciones de ruteador
Interseccin-
OtraSubred en LAN
UNAM-CERT
Elementos del ruteador
Interfases.
Definicin del flujo de dato.
Protocolo.
Tipo de trfico.
HTTP HTTP
SMTP SMTP
Router
ACL (reglas)
Mail Simple Mail Transfer Protocol - (SMTP/25)
File Transfer Protocol (FTP/20/21)
Terminal Logon (Telnet/23)
Web Hypertext Transport Protocol (HTTP/80)
Secure Web (HTTPS/443)
DNS/53
POP/110
NNTP/119
Control por tipo de trfico
UNAM-CERT
Fuentes de Informacin de la Red
Administradores de sistemas.
Administradores de la Red.
Documentos de polticas de Red & Seguridad.
Proveedores de soluciones de seguridad de la
organizacin.
Auditando VPNs.
UNAM-CERT
Comunicacin confidencial a travs de "tunnels".
Cifrado y autenticacin combinada para establecer
canal seguro.
Tres tipos de arquitectura de la VPNs:
red a red
host a red
host a host
Qu es una VPN?
VPN Red a Red
UNAM-CERT
VPN Host a Red
VPN Host a Host.
UNAM-CERT
Casi todas las VPNs estn basadas en IPsec
polticas
Intercambio de llave
Encabezado de autenticacin AH (no cifrado)
Encapsulado de la informacin ESP (payload cifrado)
VPNs
Acceso seguro para servicios vulnerables tal como
POP-3, Telnet y FTP.
Doble o triple autenticacin ( local en la laptop, NT,
radius)
Control de tiempo de acceso ( al usuario tiene permiso
a conectarse entre las horas ... )
Acceso especfico de redes o servidores.
Caractersticas de las VPNs
UNAM-CERT
Tunel de Direcciones Privadas
Direccin IP privada
Direccin IP pblica
Dispositivo
VPN
Dispositivo
VPN
servidor
servidor
Tunel con SSH
15:29:41.600589 lab1.ssh.1151 > lab2.ssh.ssh: . ack 161 win 63488 (DF)
UNAM-CERT
Cabecera de Autenticacin (AH)
Next Header Payload Length Reserved
Security Parameters Index (SPI)
Sequence Number
Authentication DATA
0 7 15 31
Original Ip Hdr AH TCP
DATA
AH Packet
Authentication
NewIP Hdr
AH Original IP Hdr
TCP DATA
Tunneled AH Packet
Authentication
Cabecera de Autenticacin.
- Estructura de cabecera-
UNAM-CERT
16:51:10.265106 192.168.0.2.1041 > 192.168.0.1.21: P 1:17(16) ack 60
win 5840 <nop,nop,timestamp 1069729 1412703> (DF) [tos 0x10]
0x0000 4510 0044 d1b0 4000 4006 e79f c0a8 0002 E..D..@.@.......
0x0010 c0a8 0001 0411 0015 f2ec 819d dac7 f558 ...............X
0x0020 8018 16d0 2cae 0000 0101 080a 0010 52a1....,.........R.
0x0030 0015 8e5f 5553 4552 2061 6e6f 6e79 6d6f ..._USER.anonymo
0x0040 7573 0d0a us..
Cabecera de Autenticacin
Encapsulado de seguridad de datos
- Estructura de encabezado -
Security Parameters Index (SPI)
Sequence Number
Payload Data
Padding
Next Hdr.
Pad Length
Authentication Data
0 7 15 23 31
UNAM-CERT
Encapsulado de Seguridad
Original IP hdr ESP TCP Data ESP Trailer ESP Auth
Transport ESP Packet
Cifrado
Autenticacin
NewIP hdr ESP Original IP hdr TCP Data ESP Trailer ESP Auth
Cifrado
Autenticacin
Tunneled ESP Packet
16:53:29.555106 192.168.0.1 > 192.168.0.2:
ESP(spi=0x46e5f147,seq=0x16)
0x0000 4500 0070 4777 0000 4032 b191 c0a8 0001 E..pGw..@2......
0x0010 c0a8 0002 46e5 f147 0000 0016 5100 fc63 ....F..G....Q..c
0x0020 55a2 9af2 0e29 2e95 16ed 002b 6e94 7aea U....).....+n.z.
0x0030 3643 d79b 219d 2b5d 6b6b 6680 9857 c5f6 6C..!.+]kkf..W..
0x0040 76ed 1d70 6215 eadf 09cc b0a7 8dd0 8db9 v..pb...........
0x0050 e307 c0f1 4178 6152 624d d48d 0311 e603 ....AxaRbM......
0x0060 21c0 f608 3408 19f4 e311 fd64 90e6 3c40 !...4......d..<@
Encapsulado de Seguridad
Traza de Tcpdump
UNAM-CERT
El tamao es importante.
Cifrado Bits de la Llave # de posibilidades
RC2 (Netscape) 40 1.1x10
12
DES 56 7.2x10
16
3DES (2 llaves) 112 5.2x10
33
RC4/128 128 3.4x10
38
3DES (3 llaves) 168 3.7x10
50
Twofish 256 1.2x10
77
Algoritmo Message-Digest (MD5)
Convierte un mensaje de longitud arbitraria a una
cadena de 128 bits.
Esta cadena puede ser usada para verificar la integridad
del mensaje original.
Cada firma es nica (relativamente).
Dificultad para regresar la firma al mensaje original
(cifrado de una sola direccin).
Usado en SNMPv2, OSPF, IPSec, etc.
UNAM-CERT
SPI Fuente Destino Punto final de
tnel
Proto. Cifrado autenticacin
1235 10.0.1.0 192.168.0.0 Sec GatewayA ESP DES HMAC-md5
67893 10.0.2.0 192.168.0.0 Sec. Gateway A ESP 3DES HMAC-md5
Security Associations
Security Associations Database (SAD)
Las cosa maravillosa acerca de IPSec es que la conexin
no puede ser establecida a menos que haya una poltica
de seguridad en el lugar. La configuracin de los
dispositivos es definida por las polticas IKE, que
identifican por ejemplo: el algoritmo 3DES para el cifrado
de los datos, hash MD5 para la integridad de datos, una
llave pre-compartida usada para la autenticacin, Diffie-
Hellman group 2 (1024 bits), y uno de 24 horas de vida
para cada asociacion de seguridad. Triple DES y Diffie-
Hellman group 2 son usados para una fuerza maxima de
cifrado.
Poltica
UNAM-CERT
16:51:04.025106 192.168.0.1.21 > 192.168.0.2.1041: S 3670537500:3670537500(0) ack
4075585949 win 5792 <mss 1460,sackOK,timestamp 1412701 1069105,nop,wscale 0> (DF)
16:51:04.025106 192.168.0.2.1041 > 192.168.0.1.21: . ack 1 win 5840
<nop,nop,timestamp 1069105 1412701> (DF)
I ntercambio de Llaves y parametros de seguridad.
16:13:00.044967 192.168.0.1.isakmp > 192.168.0.2.isakmp: isakmp: phase 2/others R
inf[E]: [encrypted hash] (DF)
16:13:00.044967 192.168.0.1.isakmp > 192.168.0.2.isakmp: isakmp: phase 2/others R
inf[E]: [encrypted hash] (DF)
Trfico IPSEC.
16:53:29.545106 192.168.0.1 > 192.168.0.2: ESP(spi=0x46e5f147,seq=0x14)
16:53:29.545106 192.168.0.2 > 192.168.0.1: ESP(spi=0x118e8bb9,seq=0x1c)
Traza tcpdump de una conexin IPSec
El riesgo mas grande de la VPN.
sabes que estas conectado, pero no quienes estn
conectados. Esto es particularmente importante cuando
las VPNs estn usadas por dial-in remoto.
Esto es lo que sucedi a Microsoft y es un escenario que
ser tocado varias veces. Desde que el tnel es cifrado,
no puedes usar un IDS a menos que este se encuentre
en el dispositivo VPN. Esta ubicacin debe permitir el IDS
ver el trfico sin cifrado el cual habilitara el IDS realizar
su misin.
UNAM-CERT
Sumario sobre VPN.
IPSec es el estndar para VPNs, existen otros como
PPTP y tneles SSH.
Los VPNs Ipsec posee un conjunto de polticas de
seguridad:
AH o ESP
DES o 3DES
VPN se puede auditar usando un IDS interno.
Auditando Firewalls
UNAM-CERT
Vamos a explorar un ejemplo fcil, usando las polticas de
seguridad que hemos estado trabajando y un conjunto de
reglas de ipf, ipchains entre otros casos.
Auditora de firewalls
1. Bloqueo de direcciones "spoofed" -- paquetes que vienen de fuera de la
organizacin con direcciones internas o privadas (RFC1918 y network 127)
2. Servicios de conexin insegura -- telnet (23/tcp), SSH (22/tcp), FTP (21/tcp),
NetBIOS (139/tcp), rlogin (512/tcp atravez de 514/tcp)
3. RPC y NFS -- Portmap/rpcbind (111/tcp y 111/udp), NFS (2049/tcp y
2049/udp), lockd (4045/tcp y 4045/udp)
4. NetBIOS en Windows NT -- 135 (tcp y udp), 137 (udp), 138 (udp), 139 (tcp).
Windows 2000 - puertos anteriores 445 (tcp y udp)
5. X Windows -- 6000/tcp atravez de 6255/tcp
6. Servicios de nombre -- DNS (53/udp) a todos los equipos, las cuales no son
servidores DNS, zona de transferencia DNS (53/tcp) excepto a secundarios
externos, LDAP (389/tcp y 389/udp)
Auditando polticas, ejercicio 1
UNAM-CERT
7. Correo -- SMTP (25/tcp) a todas las maquinas, la cuales no son relays externos
de correo, POP (109/tcp y 110/tcp), IMAP (143/tcp)
8. Web -- HTTP (80/tcp) y SSL (443/tcp) excepto a los web server externos,
adems puede bloquear opciones de puertos superiores de HTTP (8000/tcp,
8080/tcp, 8888/tcp, etc.)
9. Servidores peque~nos -- Puertos debajo de 20/tcp y 20/udp, time (37/tcp y
37/udp)
10.Varios -- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD
(515/tcp), syslog (514/udp), SNMP (161/tcp y 162/udp, 162/tcp y 162/udp),
BGP (179/tcp), SOCKS (1080/tcp)
11.ICMP -- bloqueo de peticiones entrantes (ping y traceroute windows), bloqueo
de peticiones salientes, tiempo excedido y mensajes no alcanzables.
Auditando polticas, ejercicio 2
UNAM-CERT
Qu informacin esta protegiendo el firewall?
Define expectativas de tu firewall.
Define que riesgos puedes correr.
Qu acciones son autorizadas?
Cosas por definir
Polticas de seguridad.
Polticas del firewall.
Control de cambios.
El entorno del firewall
UNAM-CERT
Antes de iniciar la auditora, debe definirse el propsito del
firewall. Qu se supone debe hacer el firewall? Las polticas
de seguridad debes explicarlas.
Polticas de Seguridad
Si no hay polticas de seguridad, discutir con el
administrador sobre el propsito del firewall.
Si eres el administrador, define el propsito del
firewall.
Muchos administradores sienten que las polticas estn
escritas en el conjunto de reglas del firewall y este puede
ser un gran lugar para comenzar definiendo polticas.
Sin polticas de Seguridad
UNAM-CERT
Requerimientos especficos de como puede operar el
firewall.
Filtrado de entrada.
Control de salida.
Cifrado.
Proteccin contra virus.
Errores.
Polticas del firewall
Quin esta autorizado para cambiar la arquitectura?
Agregar o remover un firewall.
Agregar o remover un route o switch.
Cambiar un ACL o route.
Cuando se autorizan esos cambios.
Agregar o remover un host.
Quin cambia la documentacin.
Quin puede realmente retirar los cambios.?
Control de Cambios
UNAM-CERT
Polticas de passwords.
Agregar / Remover cuentas de usuarios.
Actualizar parches.
Acceso a cuenta de administracin (root / admin).
Estandarizacin, seguridad al disear el firewall y la
infraestructura de red.
Sistema de administracin
Una vez que se ha definido el propsito del firewall, se
est listo para comenzar a profundizar ms. Cuando se
revisa tcnicamente el ambiente del firewall, hay una
palabra clave que debemos tener en cuenta
Simplicidad.
Lo simple es lo mejor en un firewall.
El paso siguiente
UNAM-CERT
Revisa lo siguiente:
Arquitectura del firewall.
VPN's
Probar el firewall.
Probar las reglas del firewall.
Probar las aplicaciones del firewall.
Alertar y registrar.
El entorno tcnico
El paso siguiente es revisar la arquitectura del
firewall. La arquitectura soporta las polticas
de seguridad?
Arquitectura del firewall
UNAM-CERT
informacin crtica.
Secretos comerciales, datos operacionales vitales.
informacin operacional.
Necesarios para completar informacin.
Administracin y configuracin de la informacin.
Operaciones internas, infraestructura.
Clases de informacin sensible
Nivel 1. Medir el impacto sobre la misin de la
organizacin, funciones, imagen y reputacin.
Nivel 2. Alteracin para la misin de la organizacin,
funciones, imagen, reputacin, o causa un mayor dao.
Nivel 3. Perdida mayor de la capacidad de la
organizacin para un periodo extendido el cual amenaza
la supervivencia de la organizacin.
Sensibilidad de la informacin
UNAM-CERT
Define como debe fluir la informacin. Qu datos
fluyen y cuales no son autorizados?
Todos los firewalls y el diseo del permetro tienden
a usar diagramas fsicos, as, un auditor debe saber
deducir el flujo de informacin y desarrollar un
diagrama lgico de un diagrama fsico.
Flujo de informacin
El propsito del diagrama lgico es mostrar el flujo
de informacin. Esto permite definir que datos
pueden fluir por cierta subred. Las polticas de
seguridad definen que es y que no es autorizado.
Este es el propsito del firewall, controlar el flujo de
informacin.
Diagrama lgico
UNAM-CERT
Internet
Corporativa
Front End
Back End
http
sql
sql sql
Diagrama lgico
Flujo de Informacin
El internet puede conectar por http/https a los
servidores web.
Los servidores web pueden consultar los servidores de
bases de datos.
Los administradores de las terminales pueden manejar
los sistemas via snmp.
Los servidores de bases de datos de la organizacin y
las base de datos del e-commerce pueden intercambiar
datos.
UNAM-CERT
Diagrama Fsico
Internet
Corporativa firewall
Web
Base de
Datos

Arquitectura
La arquitectura debe soportar las polticas de
seguridad. Si la arquitectura del firewall es
quebrantada, entonces hay poco que tus reglas del
firewall puedan hacer por ti.
Examinemos algunas de las arquitecturas
fundamentales.
UNAM-CERT
Tipos de Arquitecturas
Diseo fisico (switch)
Network Address Translation
Tipos de firewall
Diseo del permetro
Esquemas de subred
Network Address Translation
Permite el uso de direcciones privadas en la
intranet:
192.168.0.0
172.16.0.0 - 172.20.255.255
10.0.0.0
Una piscina de direcciones publicas en las
interfaces externas del dispositivo del permetro.
Sin NAT, un atacante puede explorar la red.
UNAM-CERT
Tipos de Firewalls
Packet filter - rapido, baja seguridad. Routers son packet
filters.
State Inspection - Rendimiento medio, seguridad media.
FW1 y PIX usan state inspection.
Proxy o Aplicacin gateway - lento, alta seguridad.
Gauntlet, Sidewinter y Raptor son ejemplos clsicos.
Firewall de Capa 3
Internet
Corporativa

Este diseo bsico de firewall es el mas comn.
Bajo costo
Fcil de auditar
Baja seguridad
DoS
Penetrable
UNAM-CERT
Firewall & Border Router
Internet
Corporativa

Este diseo de firewall es comn
para negocios conectados a internet.
- Bajo costo.
- Fcil de auditar.
- Seguridad Moderada.
- Resistente a DoS.
- Algo resistente a intrusiones.
Web
Server
Internet

Mail
Server
Secury
Log
ids
IDS user Server Autentication
Server
DNS
Server
Screennet Subnet
Corporate Net

Financial
Dept.
user ids
SFBR
UNAM-CERT
Firewall Dual & Border Router

Internet

Intranet
Este diseo de firewall es
comn para un alto nmero de
conexiones de negocios en
internet.
Costo moderado.
Difcil de auditar.
Alta seguridad.
Resistente a DoS.
Resistente a intrusiones.
Firewall & VPN
Este diseo basico de permetro es
comnmente implementado en reas de
oficinas.
Bajo costo.
Fcil de auditar.
Media seguridad.
DoS.
Intrusion.
VPN piggybacking
Firewall
& vpn
Internet

Intranet
UNAM-CERT
Firewall, VPN & Border Router
VPN Firewall
Internet

Intranet
Este diseo del permetro es comn para
grandes organizaciones conectados a internet.
Costo moderado.
Difcil de auditar.
Seguridad difcil para evaluar.
Resistente a DoS.
Resistente a intrusiones.
El paso por VPN podra abrir la
intranet para atacarla.
Verificacin.
Se han visto los seis firewalls y diseo de permetro mas comunes.
Firewall solamente.
Firewall y Border Router.
Dual Firewall y Border Router.
Dual Firewalls en linea.
Firewall corriendo VPN Server.
Firewall y VPN Server.
Muchos de estos diseos tienen un esquema de subred, permitiendo
evaluar estas mas de cerca.
UNAM-CERT
Revisin de la Arquitectura.
Los firewalls segmentan la informacin de forma
adecuada?
Posiblemente sea necesario agregar o remover
firewalls.
Posiblemente sea necesario agregar o remover
interfaces de red.
Se siguen los procedimientos de la arquitectura.
Firewalls
Una vez que se ha revisado la arquitectura del
firewall, puede comenzar el siguiente paso, los
firewalls en si mismos.
Se debe confirmar primero que el firewalls es
seguro en si mismo.
UNAM-CERT
Configuracin de Plataforma
El firewall es tan seguro como la plataforma
sobre la cual esta operando. Se tiene que
asegurarte que la plataforma del firewall es
segura.
Cuando auditamos firewalls, se comienza con la
plataforma que esta corriendo la aplicacin.
Aplicacin o mdulos del Sistema
Operativo
Muchos firewalls corren como una aplicacin sobre
un sistema operativo existente (tal como Firewall-1
o Sunscreen). Otros firewalls son un mdulo,
donde el sistema operativo y el mdulo del firewall
estn estrechamente integrados (tal como Nokia o
PIX appliance). Sea como sea, tienes que
asegurarte que la plataforma sea segura.
UNAM-CERT
Mdulos o Sistema Integrado
Ventajas -
Las plataformas vienen completamente seguras.
estn diseadas desde abajo como dispositivos
firewall.
Como mdulo, los distribuidores establecen la
plataforma por uno.
Desventajas de Mdulos o Sistema
integrado.
La mayora de las aplicaciones son cerradas y de
marca registrada. Se tiene que confiar en el
vendedor para crear una plataforma segura para
la aplicacin del firewall.
UNAM-CERT
Sistemas operativos
Ventajas
Se tiene gran control sobre la seguridad del sistema.
Muchos sistemas operativos proporcionan el cdigo
fuente (tal como Linux o Solaris). Se cuenta con un
conocimiento mayor de como opera la plataforma, los
riesgos implicados, y como se aseguran esos riesgos.
Se tiene un mayor control y conocimiento del sistema
operativo. Ello requiere mas trabajo en la seguridad,
pero se tiene un mejor entendimiento de lo que esta
haciendo.
Sistemas operativos
- Desventajas -
Tienes un gran control sobre la seguridad del sistema.
Esto significa que tienes grandes oportunidades para
cometer un error.
Tener un gran control, o no, puede ser algo bueno.
UNAM-CERT
Auditando un Sistema operativo
Si el firewall es una aplicacin, entonces la seguridad de
la plataforma esta vendida especficamente. Como tal,
nosotros no podemos ir a detalle a auditar la aplicacin
a nivel de hosts. Sin embargo, Se puede cubrir como
auditar un sistema operativo como una plataforma de
firewall.
Menos es ms
Cuando construimos o revisamos la plataforma del
firewall, pocos paquetes instalados y pocos servicios
activados, es lo mejor. Un firewall no debe tener nada
instalado que no sea absolutamente requerido por el.
UNAM-CERT
Instalacin mnima
Asegurate que el sistema operativo tiene el mnimo de
paquetes instalados. Si se puede remover cualquier
software, no dudes hazlo.
Paquetes relacionados con X or GUI.
Sofware relacionado con NIS / NFS / RPC.
Compiladores, PERL, TCL.
Servidos web.
Software de administracin.
Herramientas para paquetes
Algunos sistemas operativos vienen con sus propias
herramientas para determinar que paquetes son
instalados.
Solaris: pkginfo
Linux: rpmq
NT: Control Panel - Add / Remove Programs
UNAM-CERT
Servicios mnimos
Remover cualquier servicio no requerido. Este es tu
firewall y debe estar corriendo la aplicacin del firewall
solamente.
Servicios que puedes eliminar:
- UDP (SNMP, DNS, Syslog, NTP)
- DNS o Webservers.
- Aplicaciones de administracin.
- ICMP, Cmo esta respondiendo el kernel a ICMP?
Herramientas para servicios
Hay una variedad de herramientas para determinar
que servicios estn corriendo en el sistema operativo.
UNIX: lsof -i, netstat -a, ps aef
NT: Control Panel - Services, netstat -a, fport
UNAM-CERT
Unix lsof -i
lucifer# lsof -i
lsof: WARNING: compiledfor FreeBSDrelease4.4-RELEASE; this is 4.5-RELEASE.
COMMAND PID USER FD TYPE DEVICE SIZE/ OFF NODE NAME
syslogd 76 root 4u IPv6 0xc853dec0 0t0 UDP *:syslog
syslogd 76 root 5u IPv4 0xc853de00 0t0 UDP *:syslog
lpd 88 root 6u IPv6 0xc859ad80 0t0 TCP *:printer
lpd 88 root 7u IPv4 0xc859be80 0t0 TCP *:printer (LI STEN)
sshd 90 root 3u IPv6 0xc859bc60 0t0 TCP *:ssh
sshd 90 root 4u IPv4 0xc859ba40 0t0 TCP *:ssh(LI STEN)
sendmail 93 root 4u IPv4 0xc859b820 0t0 TCP *:smtp(LISTEN)
sendmail 93 root 5u IPv4 0xc859b600 0t0 TCP *:submission (LI STEN)
httpd 140 root 16u IPv4 0xc859b3e0 0t0 TCP *:http(LISTEN)
NT netstat -na
UNAM-CERT
Fport
Servicios de la red
Tambin se puede verificar servicios a nivel de la red.
Analizar la plataforma del firewall, pero con filtrado
desactivado. Esto puede emular que riesgo que existe
cuando el firewall no est trabajando.
Siempre debes verificarse los servicios activos de la red.
Esto da una visin de que ven los crackers una vez que
logran deshabilitar al firewall.
UNAM-CERT
Anlisis de puertos
Analizar todos los puertos, UDP , TCP. Identifica todos los
puertos abiertos.
Confirmar como est configurado el kernel para ICMP, tal
como:
Peticiones ICMP
Peticiones Netmask ICMP
Redireccionamiento ICMP
Hosts inalcanzables ICMP
Broadcasts ICMP
Gracias!!
Juan Carlos Guel
cguel@seguridad.unam.mx
Alejandro Nuez Sandoval
anunez@seguridad.unam.mx

Tut Seg Red

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tut Seg Red

Transféré par

Droits d'auteur :

Formats disponibles

Taller de Seguridad en Redes

Todos los derechos reservados 2004.

pingdiabolico.com> hostvictima.com: (frag 56980:1480@59200+)

Taller de Seguridad en Redes

STOP: 0XOOOOOOOA IRQL_NOT_LESS_OR_EQUAL

Vous aimerez peut-être aussi