Seguridad Informtica

Captulo Uno
Las amenazas modernas de seguridad de red

Ing. Alfredo Arrese, MSIA

alfredo.arresev@ug.edu.ec

Conceptos principales
Justificacin de la seguridad de la red
Confidencialidad, integridad, disponibilidad
Los riesgos, amenazas, vulnerabilidades y
contramedidas
Metodologa de un ataque estructurado
Modelo de seguridad (cubo McCumber)
Seleccionar e implementar contramedidas

Diseo de Red segura

Objetivos del captulo.

Al finalizar esta leccin, el participante seleccionado ser
capaz de:

1. Describir los fundamentos de seguridad de la red

2. Describir los tres principios de la seguridad de la red
3. Identificar los riesgos, amenazas, vulnerabilidades y
contramedidas
4. Discutir los tres estados de la informacin e identificar
las amenazas y las medidas de lucha pertinentes para
cada estado

Objetivos del captulo

5. Describir la diferencia entre los ataques de red
estructurados y no estructurados

6. Describir las etapas y herramientas utilizadas en un

ataque estructurado
7. Identificar las organizaciones que influyen en la
seguridad y la forma de seguridad de red
8. Identificar las especializaciones profesionales en
seguridad de la red

Qu es seguridad
de red?
National Security Telecommunications and
Information Systems Security Committee (NSTISSC)
Seguridad de la Red, es la proteccin de la informacin,
sistemas y hardware que utilizan, almacenan y
transmiten esa informacin.
Seguridad de la Red abarca los pasos que se toman para
asegurar la confidencialidad, integridad y disponibilidad
de los datos o recursos.

Justificacin de
Seguridad de la Red
Iniciativas de seguridad de la red y los especialistas en
seguridad de la red se pueden encontrar en las empresas
pblicas y privadas, grandes y pequeas empresas y
organizaciones. La necesidad de seguridad de la red y su
crecimiento se debe a muchos factores:
1. Conectividad a Internet es 24/7 y es en todo el mundo
2. Aumento de la delincuencia ciberntica
3. Impacto sobre las empresas y los individuos
4. Legislacin y riesgos
5. La proliferacin de amenazas
6. La sofisticacin de las amenazas

Cyber Crime

Fraude / Estafas
Robo de Identidad
Pornografa Infantil
El robo de los Servicios de Telecomunicaciones
El vandalismo electrnico, Terrorismo y Extorsin

WASHINGTON, D.C. Se estima que

3,6 millones de hogares, o cerca de un
3 por ciento de todos los hogares de la
nacin, se enter de que haba sido
vctima de por lo menos un tipo de
robo de identidad durante un perodo
de seis meses en 2004, segn la
Oficina del Departamento de Justicia
de Estadsticas de Justicia

Impacto en los
negocios
1. Disminucin de la productividad
2. La prdida de ingresos por ventas

3.
4.
5.
6.
7.
8.

Divulgacin de informacin confidencial no autorizados

Amenaza de secretos comerciales o frmulas
Comprometer la reputacin y la confianza
Prdida de comunicaciones
Amenazas a los sistemas ambientales y de seguridad
La prdida de tiempo
Current Computer Crime Cases

Proliferacin de
Amenazas
En 2001, el Centro de Proteccin de la Infraestructura Nacional en
el FBI dio a conocer un documento que resume las diez
vulnerabilidades de Internet ms crticas de seguridad.
Desde entonces, miles de organizaciones confan en esta lista para
priorizar sus esfuerzos para que puedan cerrar los agujeros ms
peligrosos en primer lugar.
El panorama de las amenazas es
muy dinmico, que a su vez hace
necesario adoptar las medidas
de seguridad ms reciente.
Los tipos de vulnerabilidades que
son explotadas actualmente son
muy diferentes de los que fueron
explotadas en el pasado.

Sofisticacin de las
amenazas

Legislacin
Gobierno federal y local ha aprobado una ley que
sostiene las organizaciones y los individuos
responsables de la mala gestin de los datos sensibles.
Estas leyes son:
1.The Health Insurance Portability and Accountability Act of
1996 (HIPAA)
2.The Sarbanes-Oxley Act of 2002 (Sarbox)
3.The Gramm-Leach-Blilely Act (GLBA)

4.US PATRIOT Act 2001

Objetivos de un
Programa de Seguridad
de la Informacin?
Confidencialidad
Impedir la divulgacin de informacin sensible de las
personas no autorizadas, recursos y procesos
Integridad
La proteccin de modificacin intencional o accidental
de la informacin del sistema o los procesos

Disponibilidad
La garanta de que los sistemas y los datos estn
accesibles a los usuarios autorizados cuando sea
necesario

Informacin del
Modelo de Seguridad
Informacin de los Estados

Propiedades de
Informacin
de la Seguridad

Medidas de Seguridad
NSTISSI 4011: National Training Standard for Information Systems Security Professionals, 1994

Propiedades de la
seguridad de informacin

Confidencialidad

Integridad

Disponibilidad

Estado de la
informacin
Procesamiento de datos.
Almacenamiento de datos.
Transmision de datos.

Medidas de
Seguridad

Polticas y Procedimientos
Tecnologia
Educacion, entranmiento, y conciencia

Modelo de Seguridad
de Informacin
Procesamiento
Almacenamiento
Transmision
Confidencialidad
Integridad
Disponibilidad

Politicas y Procedimientos
Tecnologia
Educacion,
Entrenamiento, y
Conciencia

Gestin de riesgos
Anlisis de Riesgos
Amenazas
Vulnerabilidades
Contramedidas

Gestin de riesgos

Control physical access

Password protection

Develop a Security Policy

El proceso de evaluar y cuantificar el riesgo y el establecimiento de

un nivel aceptable de riesgo para la organizacin
El riesgo puede ser mitigado, pero no puede ser eliminada

Evaluacin de Riesgos
La evaluacin de riesgos consiste en determinar la
probabilidad de que la vulnerabilidad sea un riesgo para
la organizacin
Cada vulnerabilidad se pueden clasificar segn la escala
A veces, el clculo de las prdidas esperadas puede ser
til para determinar el impacto de la vulnerabilidad

La identificacin de
activos
Categoras de activos
Activos de Informacin (personas, hardware, software,
sistemas)
Activos de apoyo (instalaciones, servicios pblicos,
servicios)
Activos Crticos (puede ser cualquiera de los
mencionados anteriormente)
Los atributos de los activos necesitan ser compilados
Determinar el valor relativo de cada elemento
Cuntos ingresos / beneficios genera?
Cul es el costo para reemplazarlo?
Qu tan difcil sera para reemplazarlo?
Con qu rapidez puede ser reemplazado?

Seguridad de red "amenaza"

Un peligro potencial a la informacin o un sistema
Un ejemplo: la capacidad de obtener acceso no autorizado a los
sistemas y la informacin con el fin de cometer fraude, intrusiones
en la red, el espionaje industrial, robo de identidad, o simplemente
para interrumpir el sistema o de la red.
Puede haber puntos dbiles que aumentan enormemente la
probabilidad de una amenaza manifiesta

Las amenazas pueden incluir

fallas en los equipos, ataques
Estructurados, desastres
naturales, ataques fsicos, robos,
virus y muchos otros eventos
potenciales causando peligro o
dao

Tipos de amenazas
de la red
Suplantacin de identidad
Espionaje

Denegacin de servicio
Repeticin de paquetes
Hombre en el medio

Modificacin de paquetes

Vulnerabilidad
Una vulnerabilidad de la red es una debilidad en un
sistema, tecnologa, producto o poltica
En el entorno actual, varias organizaciones
supervisan, organizan y ponen a prueba estas
vulnerabilidades
El gobierno de EE.UU. tiene un contrato con una
organizacin para realizar un seguimiento y publicar
vulnerabilidades de la red
Cada vulnerabilidad se da una identificacin y
pueden ser revisados por los profesionales de
seguridad de la red a travs de Internet.
La lista common vulnerability exposure (CVE) tambin
publica las formas de prevenir la vulnerabilidad de
los ataques

Evaluacin de
vulnerabilidades
Es muy importante que los especialistas en seguridad de
redes comprendan la importancia de la evaluacin de
las vulnerabilidades.
Una evaluacin de vulnerabilidades es un snapshot de
la seguridad de la organizacin en su estado actual.
Qu debilidades actuales de seguridad puede exponer
a los activos a estas amenazas?
Los scanners de vulnerabilidades son herramientas
disponibles como descargas gratuitas en Internet y como
productos comerciales.
Estas herramientas comparan el activo contra una base
de datos de vulnerabilidades conocidas y presentar un
informe de las vulnerabilidades encontradas y
determinar su severidad.

Terminos de la
gestin de riesgos
Vulnerabilidad - debilidad de un sistema, red o
dispositivo
Amenaza - peligro potencial que representa una
vulnerabilidad.
Agente de amenaza - la entidad que identifica una
vulnerabilidad y lo utiliza para atacar a la vctima
Riesgo - probabilidad de que un agente de amenaza
tome ventaja de una vulnerabilidad y el impacto en el
negocio

Exposicin - potencial de experimentar prdidas de

un agente de amenaza
Contramedida - poner en prctica para mitigar el
riesgo potencial

Comprensin de
Riesgos
Da lugar a

Agente de
Amenaza

Explotar

Amenazat

Conduce a

Vulnerabilidades

Riesgo
influye directamente

Activo

Exposicin Causa
Contramedidas
Puede ser salvaguardado por

Puede daar

Qualitative Risk Analysis

Los valores de exposicin prioriza el orden de tratamiento de los riesgos

A new worm
Web site defacement
Fire protection system
Floods datacenter

Anlisis Cuantitativo
de Riesgos
Factor de exposicin (EF)
-% De prdida de un activo

Expectativa de prdida simple (SLE)

-EF x Valor de los activos en dlares
Tasa anual de ocurrencia (ARO)
-Un nmero que representa la frecuencia de
ocurrencia de una amenaza
Ejemplo: 0.0 = Nunca 1000 = ocurre muy a menudo
Expectativa de prdida anual (ALE)
Valor en dlares derivados de: SLE x ARO

Gestionar los riesgos

Aceptar

Transferir
Transferir la
responsabilidad
por el riesgo a un
tercero (ISP,
Seguros, etc)

Reconocer que el
riesgo existe, pero
no se aplican
salvaguardias

Risk

Mitigar
Cambiar la exposicin
del activo en riesgo
(aplicar medidas de
salvaguardia)

Evitar
Eliminar la
exposicin del
activo al riesgo, o
eliminar por
completo el activo

Tipos de ataques
Ataque estructurado
Proceden de los hackers que estn ms altamente motivado y
tcnicamente competente. Estas personas conocen las
vulnerabilidades del sistema y puede entender y desarrollar el
cdigo de explotacin y scripts. Entienden, desarrollar y utilizar
sofisticadas tcnicas de hacking para penetrar en los negocios
confiados. Estos grupos a menudo estn involucrados con un gran
fraude y casos de robo reportados a las agencias de aplicacin de la
ley.
Ataque no estructurada
Consiste en su mayora personas sin experiencia con herramientas
de hacking fcilmente disponibles, tales como scripts de shell y
crackers de contraseas. Incluso las amenazas no estructuradas
que slo se ejecutan con la intencin de probar y desafiar las
habilidades de un hacker, puede hacer un dao grave a la empresa.

Tipos de ataques
Los ataques externos
Iniciado por individuos o grupos que trabajan fuera de la empresa.
Ellos no tienen acceso autorizado a los sistemas informticos o
redes. Recolectan informacin para poder trabajar su camino dentro
de la red, principalmente desde los servidores de acceso por Internet
o telefnicamente.
Los ataques internos
Es ms comn y peligroso. Los ataques internos son iniciados por
una persona que tiene autorizado el acceso a la red. Segn el FBI,
el acceso interno y mal uso de cuenta tienen entre 60 al 80 por
ciento de los incidentes reportados. Estos ataques a menudo se
remontan a los empleados descontentos.

Tipos de ataques
Ataque pasivo
- Escuchar las contraseas del sistema
- Publicacin del contenido del mensaje
- Anlisis del trfico
- Captura de Datos
Ataque activo
- Intentos de iniciar sesin en la cuenta de otro
- Escuchas telefnicas
- Denegacin de servicios
- Ataque mascarada tambin llamado Masquerading
- Modificaciones de mensajes

Ataques
especficos de red
Ataques ARP
Ataques de fuerza bruta

Worms
Flooding
Sniffers

Spoofing
Ataques redirecccionados
Ataques de tunel

Canales encubiertos.

Denegacin de
Servicios
De uso general en contra de almacenes
de informacin como pginas web

Simple y suele ser bastante eficaz

No representan una amenaza directa a
los datos sensibles
El atacante intenta evitar que un
servicio sea utilizado y hacer que el
servicio no est disponible para los
usuarios legtimos
Los atacantes suelen tener objetivos de
alta visibilidad, como el servidor web, o
tambien objetivos de infraestructura
como routers y enlaces de red

Uh-Oh.
Another DoS
attack!

Ejemplo de DoS
Si un servidor de correo es capaz de recibir y
entregar 10 mensajes por segundo, un atacante
simplemente enva 20 mensajes por segundo. El
trfico legtimo (as como una gran parte del trfico
malicioso) se descartar, o el servidor de correo
puede dejar de responder por completo.
Este tipo de ataque puede ser utilizado como una
distraccin mientras otro ataque se hace para
comprometer en realidad sistemas.
Adems, los administradores son propensos a
cometer errores durante un ataque y posiblemente
cambian la configuracin creando una
vulnerabilidad que puede ser mejor explotada.

Tipos de ataques de
denegacin de
servicio
Buffer Overflow Attacks
SYN Flood Attack
Teardrop Attacks
Smurf Attack
DNS Attacks
Email Attacks
Physical Infrastructure
Attacks
Viruses/Worms

Ataque de DoS Buffer Overflow

El ataque DoS ms comun enva ms trfico a
un dispositivo que el programa prev que
alguien podra enviar desbordando el bfer.

Ataque de DoS - SYN Flood

Cuando se inician las sesiones de conexin
entre un cliente y un servidor en una red, un
espacio muy pequeo existe para manejar
rpidamente el "hand-shaking" que es el
intercambio de mensajes que se establece una
sesin.

Los paquetes de establecimiento de sesin

incluye un campo SYN que identifica el orden
de secuencia.
Para hacer este tipo de ataque, un atacante
puede enviar muchos paquetes, por lo general
desde una direccin falsa, asegurando as que
la respuesta no sea enviada.

DoS - Teardrop Attack

Exploits the way that the Internet
Protocol (IP) requires a packet that is
too large for the next router to handle
be divided into fragments.
The fragmented packet identifies an
offset to the beginning of the first
packet that enables the entire packet
to be reassembled by the receiving
system.
In the teardrop attack, an attacker's
IP puts a confusing value in the
second or later fragment. If the
receiving operating system cannot
cope with such fragmentation, then it
can cause the system to crash.

DoS - Smurf Attack

The attacker sends an IP ping
request to a network site.
The ping packet requests that it
be broadcast to a number of hosts
within that local network.
The packet also indicates that the
request is from a different site, i.e.
the victim site that is to receive the
denial of service.
This is called IP Spoofing--the victim site becomes the address of
the originating packet.
The result is that lots of ping replies flood back to the victim host.
If the flood is big enough then the victim host will no longer be
able to receive or process "real" traffic.

DoS - DNS Attacks

A famous DNS attack was

a DDoS "ping" attack. The
attackers broke into
machines on the Internet
(popularly called "zombies")
and sent streams of forged
packets at the 13 DNS
root servers via intermediary
legitimate machines.
The goal was to clog the servers, and communication links on the
way to the servers, so that useful traffic was gridlocked. The assault is
not DNS-specific--the same attack has been used against several
popular Web servers in the last few years.

DoS - Email Attacks

When using Microsoft Outlook, a script reads your
address book and sends a copy of itself to everyone
listed there, thus propagating itself around the Internet.
The script then modifies the computers registry so that
the script runs itself again when restarted.

DoS - Physical Infrastructure Attacks

Someone can just simply snip your cables! Fortunately
this can be quickly noticed and dealt with.

Other physical infrastructure attacks can include

recycling systems, affecting power to systems and actual
destruction of computers or storage devices.

DoS - Viruses/Worms
Viruses or worms, which replicate across a network in
various ways, can be viewed as denial-of-service attacks
where the victim is not usually specifically targeted but
simply a host unlucky enough to get the virus.
Available bandwidth can become saturated as the
virus/worm attempts to replicate itself and find new
victims.

Malicious Code Attacks

Malicious code attacks refers to
viruses, worms, Trojan horses,
logic bombs, and other
uninvited software
Damages personal computers,
but also attacks systems that
are more sophisticated
Actual costs attributed to the
presence of malicious code
have resulted primarily from
system outages and staff time
involved in repairing the
systems

Costs can be significant

Packet Sniffing Attacks

Most organization LANs are Ethernet networks

On Ethernet-based networks, any machine on the network can see
the traffic for every machine on that network
Sniffer programs exploit this characteristic, monitoring all traffic and
capturing the first 128 bytes or so of every unencrypted FTP or
Telnet session (the part that contains user passwords)

Information Leakage Attacks

Attackers can sometimes get data without having to
directly use computers

Exploit Internet services that are intended to give out

information
Induce these services to reveal extra information or to
give it out to unauthorized people
Many services designed for use on local area networks
do not have the security needed for safe use across the
Internet

Thus these services become the means for important

information leakage

Social Engineering Attacks

Hacker-speak for tricking a person into revealing some
confidential information
Social Engineering is defined as an attack based on
deceiving users or administrators at the target site
Done to gain illicit access to systems or useful
information
The goals of social engineering are fraud, network
intrusion, industrial espionage, identity theft, etc.

Attack Methodology
Stages - the methodology of network attacks is well
documented and researched. This research has led to
greater understanding of network attacks and an entire
specialization of engineers that test and protect networks
against attacks (Certified Ethical Hackers/Penetration
Testers)
Tools - penetration testers have a variety of power tools that
are now commercially available. They also have may open
source free tools. This proliferation of powerful tools has
increased the threat of attack due to the fact that even
technical novices can now launch sophisticated attacks.

Stages of an Attack
Todays attackers have a abundance of targets. In fact
their greatest challenge is to select the most vulnerable
victims. This has resulted in very well- planned and
structured attacks. These attacks have common logistical
and strategic stages. These stages include;
- Reconnaissance
- Scanning (addresses, ports, vulnerabilities)
- Gaining access

- Maintaining Access
- Covering Tracks

Tools of the Attacker

The following are a few of the most popular tools used by
network attackers:
- Enumeration tools (dumpreg, netview and netuser)
- Port/address scanners (AngryIP, nmap, Nessus)
- Vulnerability scanners (Meta Sploit, Core Impact, ISS)

- Packet Sniffers (Snort, Wire Shark, Air Magnet)

- Root kits
- Cryptographic cracking tools (Cain, WepCrack)

- Malicious codes (worms, Trojan horse, time bombs)

- System hijack tools (netcat, MetaSploit, Core Impact)

Countermeasures
DMZ/NAT
IDS/IPS
Content Filtering/NAC
Firewalls/proxy services

Authentication/Authorization/Accounting
Self-defending networks
Policies, procedures, standards guidelines
Training and awareness

Countermeasure Selection
Cost /benefit calculation
(ALE before implementing safeguard) (ALE after implementing
safeguard) (annual cost of safeguard) = value of safeguard to the
company

Evaluating cost of a countermeasure

- Product costs

- Testing requirements

- Design/planning costs

- Repair, replacement, or
update costs

- Implementation costs
- Environment modifications

- Operating and support

costs

- Compatibility

- Effects of productivity

- Maintenance requirements