Académique Documents
Professionnel Documents
Culture Documents
45
Temas:
1.
Concepto de permetro
2.
Defensa de Enlace
3.
Seguridad en Ruteadores
CIBERTEC
1.
46
Conceptos de Permetro
Confidencialidad.
Asegura la liberacin intencional o no, de informacin no autorizada de la
organizacin. La prdida de confidencialidad puede ocurrir de diversas formas. Por
ejemplo, por una liberacin intencional de informacin privada de la organizacin,
configuracin errnea de parmetros de red de los dispositivos, etc.
Algunos de los elementos utilizados para asegurar la confidencialidad son:
CIBERTEC
47
Integridad.
Asegura que el mensaje enviado es recibido y que no fue modificado,
intencionalmente o no. El concepto de integridad incluye el de no repudiacin, lo que
significa que se tiene evidencia confiable de las actividades realizadas por una fuente
especfica.
Algunos de los elementos empleados para asegurar integridad son:
Servicios de firewall.
Administracin de comunicaciones
Servicios de deteccin de intrusos.
Disponibilidad.
Se refiere a los elementos que crean fiabilidad y estabilidad en una red y en los
sistemas. La disponibilidad asegura que los sistemas sean accesibles cuando sea
requerido, permitiendo a los usuarios autorizados acceder a la red o al sistema.
Autenticacin.
Se refiere a que los elementos deben validarse entre s, antes de iniciar una sesin. La
autenticacin evita que elementos no autorizados para comunicarse en la red, puedan
establecer sesiones.
En el permetro, el principal equipo de trabajo es el ruteador, complementando a ste
se encuentran el switch y el firewall.
48
D. Denial of service
Estos ataques originan la cada de un servicio debido a la saturacin de los
recursos de la red. Esta saturacin puede ser dirigida contra los dispositivos
de red, servidores o la infraestructura que controla y maneja el ancho de
banda de los enlaces. Por ejemplo un ataque de negacin de servicio
distribuido.
E. Intrusiones de red
Se refiere al uso no autorizado del acceso a la red. Estos ataques son
generados por personas ajenas a la organizacin, lo que los distingue de los
atacantes internos del primer caso visto. Estos ataques son conocidos
tambin porque realizan ataques de penetracin y explotan vulnerabilidades
en el permetro de seguridad.
Presenta 3 subtipos: Spoofing, Piggy-backing y Backdoors.
F. Indagacin (Probing/Scanning)
La indagacin es una variacin activa del eavesdropping. Mediante este
ataque se obtiene informacin de la red: configuracin, estaciones activas,
etc. informacin que posteriormente, se utilizar para efectuar un ataque.
Este ataque puede ser efectuado de manera manual o automtica.
CIBERTEC
49
G. Hijacking
Mediante este ataque, el atacante toma control de la sesin entre un usuario
y el servicio al que accede, hacindoles creer a ambos que la sesin se
realiza sin ningn inconveniente. El atacante se coloca en medio de la sesin
y recibe los paquetes que se intercambian entre el usuario y el servidor y
antes de que stos lleguen, los modifica o simplemente monitorea todo el
trfico. Este ataque se vale de tcnicas de spoofing y ataques TCP Sequence
Number.
CIBERTEC
2.
50
Los switches son dispositivos de capa 2 que permiten la segmentacin del trfico de
red en cada uno de sus puertos, permitiendo que la comunicacin entre estaciones
conectadas en diferentes puertos del switch no pueda afectar la comunicacin entre
otras estaciones conectadas, es decir, los puertos del switch se comportan como
puertos bridge. Esta tcnica permite incrementar el ancho de banda de la red de datos.
Denial of Service.
Spoofing.
ARP Spoofing.
CIBERTEC
51
Destino desconocidas.
Broadcasts o multicasts.
No existentes.
CIBERTEC
52
CIBERTEC
53
nueva direccin MAC fuera del rango definido en ese puerto sea
rechazada.
El comando para asignar direcciones estticas es el siguiente:
switchport port-security
2.2.3. Arp Spoofing
El protocolo ARP es utilizado para mapear una direccin IP a una
direccin MAC. La estacin que quiere comunicarse con otra, a travs del
protocolo IP, primero mapea la direccin IP a la MAC de la estacin
destino enviando un paquete broadcast ARP request, a todas las
estaciones preguntando por la direccin MAC y slo la estacin con esa
direccin IP responder con un paquete ARP Reply.
De acuerdo con el RFC ARP, los clientes pueden enviar un paquete ARP
Reply sin necesidad de un paquete ARP Request previo. Esto es
conocido como un paquete Gratuitous ARP. El objetivo de robar esta
identidad es brindar informacin errnea al resto de estaciones
hacindoles creer que el atacante es otra estacin, en especial
asumiendo la identidad del ruteador.
El atacante al realizar esto hace que el trfico, del resto de estaciones,
fluya a travs de su estacin. Los mecanismos de port-security no
pueden controlar este tipo de situaciones.
Las herramientas que permiten efectuar este ataque son: Ettercap, Dsniff,
Cain&Abel, etc.
Pero cmo evitar este tipo de ataques?, pues monitoreando
constantemente las asociaciones de direcciones IP a direcciones MAC.
Esto se puede lograr utilizando una aplicacin llamada ARPWatch
(WinARP Watch en Windows). Esta herramienta se ejecuta en la
estacin del cliente y registra todas las asociaciones de direccin IP a
direccin MAC. Cuando esta asociacin cambia, podra ser por una
situacin normal o por una situacin anmala y con esta informacin el
administrador de red efectuara las investigaciones del caso.
CIBERTEC
3.
54
Ruteadores
CIBERTEC
55
CIBERTEC
56
E. Respuesta de Compromiso
CIBERTEC
57
CIBERTEC
58
La configuracin se da a continuacin:
Central#config t
Central(config)#enable secret 2-mAny-rOUtEs
Central(config)#no enable password
Central(config)#end
C. Acceso Remoto
Caracterstica
Descripcin
Cisco
Protocolo propietario
Discovery
Cisco de nivel 2.
protocol (CDP)
Servicios de red
TCP small
estndares TCP:
servers
Finger, echo, etc.
Servicios de red
UDP small
estndares UDP:
servers
Finger, echo, etc.
Servicio de bsqueda
de usuario Unix que
permite identificar
Finger
quin est conectado
remotamente al
equipo.
HTTP server
Algunos equipos
Valor por
Omisin
Recomendacin
Habilitado.
Casi no se utiliza.
Deshabilitarlo.
11.3
deshabilitado.
11.2 habilitado.
11.3
deshabilitado.
11.2 habilitado.
Caracterstica
heredada.
Deshabilitarla.
Caracterstica
heredada.
Deshabilitarla.
Habilitado.
Las personas no
autorizadas no
requieren saber esto.
Deshabilitarlo.
Vara por
Si no se utiliza,
CIBERTEC
Cisco ofrecen
administracin va
Web.
Bootp server
Configuration
auto-loading
IP source
routing
Proxy ARP
IP directed
broadcast
Classless
routing
behavior
IP
unreachable
notifications
IP mask reply
IP redirects
NTP service
Simple
Network
Management
Protocol
(SNMP)
Configuracin y
monitoreo remoto va
SNMP.
Domain Name
Service (DNS)
Los ruteadores
pueden efectuar
resolucin de
nombres.
59
dispositivo.
Habilitado.
Deshabilitado.
Habilitado.
Habilitado.
Habilitado
(versiones 11.3 y
anteriores)
Habilitado.
deshabilitarlo. Si no,
restringir el acceso.
Servicio raramente
utilizado y podra ser
un punto de ataque,
por lo que debe ser
deshabilitado.
Servicio utilizado
raramente. Se
recomienda
deshabilitarlo.
Puede ser utilizado
para un ataque.
Deshabilitarlo.
Deshabilitarlo a menos
que el ruteador acte
como un bridge de
LAN.
Puede ser utilizado
para ataques.
Deshabilitarlo.
Utilizado por algunos
ataques.
Deshabilitarlo.
Habilitado.
Deshabilitado.
Habilitado.
Habilitado (si se
configura el
servicio NTP).
Si no se utiliza,
deshabilitarl. Si no,
restringir el acceso.
Habilitado.
Si no se utiliza,
deshabilitarlo. Si no,
restringir el acceso.
Habilitado
(broadcast)
Definir explcitamente
nombres de servidores
DNS; de lo contrario,
deshabilitarlo.
CIBERTEC
60
B.
C.
Finger server
Central#config t
Central(config)#no ip finger
Central(config)#no service finger
D.
HTTP server
Deshabilitacin:
Central(config)#no ip http server
Acceso restringuido:
Central(config)#username nzWeb priv 15 password 0C5A1rCarg0
Central(config)#ip http auth local
Central(config)#no access-list 29
Central(config)#access-list 29 permit host 10.20.7.0 0.0.0.255
Central(config)#access-list 29 deny any
Central(config)#ip http access-class 29
Central(config)#ip http server
E.
Bootp server
Central(config)#no ip bootp server
F.
Configuration auto-loading
Central(config)#no boot network
Central(config)#no service config
G.
IP Source routing
Central(config)#no ip source-route
CIBERTEC
H.
61
Proxy ARP
Central#config t
Central(config)#interface eth0/0
Central(config-if)#no ip proxy-arp
Central(config-if)#exit
Central(config)#interface eth0/1
Central(config-if)#no ip proxy-arp
Central(config-if)#exit
Central(config)#interface eth0/2
Central(config-if)#no ip proxy-arp
Central(config-if)#exit
Central(config)#interface eth0/3
Central(config-if)#no ip proxy-arp
Central(config-if)#end
I.
IP Directed broadcast
Central#no ip directed-broadcast
J.
IP Classless routing
Central(config)#no ip classless
K.
L.
NTP Service
Central#config t
Central(config)#interface eth0/0
Central(config-if)#ntp disable
Central(config-if)#exit
Central(config)#interface eth1/0
Central(config-if)#ntp disable
Central(config-if)#end
M. SNMP Services
Central#config t
Central(config)#no snmp-server community public RO
Central(config)#no snmp-server community admin RW
Central(config)#no access-list70
Central(config)#access-list70 deny any
Central(config)#snmp-server community aqiytj1726540942 ro 70
Central(config)#no snmp-server enable traps
Central(config)#no snmp-server system-shutdown
Central(config)#no snmp-server trap-auth
CIBERTEC
62
Central(config)#no snmp-server
Central(config)#end
N.
O.
P.
Configuracin Ejemplo
!-----Seccin de servicios de red e IP
no cdp run
no ip source-route
no ip classless
no service tcp-small-serv
no service udp-small-serv
no ip finger
no service finger
no ip bootp server
no ip http server
no ip name-server
!-----Seccin de control Boot
no boot network
no service config
!-----Seccin de Control SNMP (deshabilitacin completa del servicio)
! configurar una lista de acceso completamente restrictiva
no access-list 70
access-list 70 deny any
! Hacer al SNMP de solo lectura y bajo el control de listas de
snmp-server community aqiytj1726540942 ro 11
! Deshabilitar Traps SNMP y caractersticas de shutdown del sistema
no snmp-server enable traps
no snmp-server system-shutdown
no snmp-server trap-auth
!Apagar completamente SNMP
no snmp-server
!-----Configuracin de servicios por interface
interface eth0/0
description Outside interface to 10.20.4.0/22 net
no ip proxy-arp
CIBERTEC
63
no ip directed-broadcast
no ip unreachable
no ip redirect
ntp disable
exit
interface eth0/1
description Inside interface to 10.20.7.0/24 net
no ip proxy-arp
no ip directed-broadcast
no ip unreachable
no ip redirect
ntp disable
exit
interface eth0/2
no ip proxy-arp
shutdown
no cdp enable
exit
interface eth0/3
no ip proxy-arp
shutdown
no cdp enable
exit
3.3.3. Listas de Acceso y Filtrado
Las listas de acceso permiten controlar el flujo de trfico que ingresa o
sale de una red, a travs del ruteador. Las listas de acceso son filtros de
trfico que contienen una o ms reglas. Para el caso de trfico IP existen
2 tipos de ACLs: estndar y extendida.
La ACL estndar permite crear filtros basados slo en la direccin IP
fuente. La ACL extendida permite crear filtros basados en sus
protocolos, direcciones IP fuente o destino, puertos TCP/UDP fuente,
destino o tipos de mensajes ICMP e IGMP.
Ambas ACLs pueden aplicarse a las interfaces de red, lneas vty, IPSec,
protocolos de ruteo y en otras caractersticas del ruteador. Para el caso
de SNMP slo se pueden aplicar ACLs estndar.
A. Sintaxis de las ACLs
CIBERTEC
64
source
sourcewildcard
log
source
sourcewildcard
sourcequalifiers
destination
destinationwildcard
destinationqualifiers
log
log-input
B. Filtros
CIBERTEC
65
CIBERTEC
66
CIBERTEC
67
Central(config)#interface eth0/0
Central(config-if)#description "external interface"
Central(config-if)#ip access-group 106 in
Land Attack
Se refiere a la llegada a un ruteador de un paquete desde el
exterior con la misma direccin de la red destino, lo cual es
imposible causando una situacin de denegacin de servicio o
degradacin en el objetivo. Para evitar esto se ejecutan los
siguientes comandos.
Central(config)#access-list 100 deny ip host 10.20.6.30 host
10.20.6.30 log
Central(config)#access-list 100 permit ip any any
Central(config)#interface eth0/0
Central(config-if)#description
"external
interface
to
10.20.6.30/22"
Central(config-if)#ip address 10.20.4.0 255.255.252.0
Central(config-if)#ip access-group 100 in
Central(config-if)#end
Smurf Attack
Es ejecutado al enviar paquetes ICMP Echo-Request contra la
direccin de red y la direccin broadcast de una red con el origen
falseado, con el objetivo de generar un ataque de tipo DoS. Para
evitar esto se debe filtrar cualquier tipo de trfico contra la
direccin de red y la direccin de broadcast de la organizacin.
Los comandos de configuracin son los siguientes.
Central(config)#access-list 110 deny ip any host 10.20.7.255
log
Central(config)#access-list 110 deny ip any host 10.20.4.0
log
CIBERTEC
68
Nivel
Nombre del
Nivel
Descripcin
Emergencies
Alerts
2
3
Critical
Errors
Warnings
Notifications
Informational
El ruteador queda
inutilizado.
Se requiere accin
inmediata.
Condicin crtica.
Condicin de error.
Condicin de
advertencia.
Evento normal pero
importante.
Mensaje informativo.
Debugging
Mensaje de depuracin.
Ejemplo
IOS no puede cargar.
Temperatura muy alta.
No puede asignar memoria.
Tamao de memoria invlido.
Operacin fallida de
criptografa.
Interface cambi de estado.
Paquete denegado por ACL.
Aparece solo cuando el
debugging es habilitado.
Consola
Este tipo de registro no es persistente. Los mensajes enviados a la consola
no son almacenados en el ruteador ni en ningn otro lugar.
La configuracin es la siguiente.
Central#config t
Central(config)#logging console notification
Central(config)#logging on
Central(config)#exit
Terminal Line
Cualquier sesin exec puede ser configurada para recibir mensajes de logs.
Esta forma de registro no es persistente y slo es til para el usuario que se
conecta bajo esta forma. Su configuracin es la siguiente.
Central(config)#logging monitor information
Central(config)#exit
Central#terminal monitor
Central#config t
Central(config)#interface eth0/1
Central(config-if)#shutdown
CIBERTEC
69
Buffered
Los ruteadores Cisco pueden almacenar informacin en un buffer de
memoria. Si el ruteador es reiniciado, entonces esta informacin se pierde y
lo mismo ocurre cuando el buffer se llena.
La configuracin es la siguiente.
Central#config t
Central(config)#logging buffered 16000 information
Central(config)#service time stamp log date msec local show-timezo
Central(config)#exit
Syslog
El servidor Syslog acepta los mensajes y los almacena en archivos de tipo
texto. Estos archivos pueden ser procesados por un software especializado
como un SIEM (Correlacionador de Eventos de Seguridad) como Arcsight
enVision, con el fin de obtener informacin estadstica referente a los eventos
detectados por el dispositivo. La configuracin es la siguiente.
Central#config t
Central(config)#logging trap information
Central(config)#logging 10.20.7.3
Central(config)#logging facility local 6
Central(config)#logging source-interface eth0/1
Central(config)#exit
SNMP Trap
Esta opcin se habilita para algunos mensajes especficos y permite que el
ruteador sea monitoreado desde sistemas de administracin de red. Su
configuracin es la siguiente.
Central(config)#logging trap information
Central(config)#snmp-server host 10.20.7.3 traps public
Central(config)#snmp-server trap-source ethernet0/1
Central(config)#snmp-server enable traps syslog
Central(config)#exit
CIBERTEC
70
Central#config t
Central(config)#clock timezone EST -5
Central(config)#interface eth0/0
Central(config-if)#ntp disable
Central(config-if)#end
Central#clock set 17:27:30 28 August 2003
CIBERTEC