Académique Documents
Professionnel Documents
Culture Documents
com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Protección de afuera hacia adentro
99% protegido = 100% vulnerable
DMZ
FW
Router IPS
STAGING
FW
DB srvr
SWITCH
LAN
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
CONCEPTOS VARIOS
•Mininos privilegios
•Security Policy
•Input Validation
•Documentation
•Ingeniería social
•Av,Hardeinig, Patches
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS
http://www.x.com/etc/passwd
DMZONE
switch
DNS APACHI WEB
servers
Clients
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Conceptos básicos de IDS/IPS
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems
(HIDSs)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems (HIDS)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Switch(config)# interface fa 0/1
Switch(config-if)# port monitor
fastethernet 0/2
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)
Problema:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
IPS puede detectar:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection System
(NIDSs)
• Falsos positivos.
• Falsos negativos.
• Fine tunning
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reducir falsos positivos con Nessus
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Vunerability scanner
Nessus (www.nessus.org)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection implementación
El primer paso es configurar el IPS en “learning mode”
(aprendizaje), cada vez que el IPS detecta nuevo
comportamiento el administrador deberá configurarlo
“decirle si es normal o no”.
El momento en que el IPS aprendió todo el comportamiento de
la red se configura el “blocking mode” ahí el IPS para todo
el trafico que no esta en su perfil aprendidó.
Hacer el “fine tuning” de este IPS consume muchas horas.
• Error en configuración: backups, corte de electricidad.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Gartner Magic Quadrant
IDS Vendors – 2005 Q2
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
IPS basado en firmas- no detecta ataques si no existe la firma.
Firmas incorrectas.
Falsos positivos|negativos
El Fine Tuning toma mucho tiempo| varias empresas lo apagan.
Puede crear latencia en la red especificamente con protocolos
Real Time\ VOIP
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
HTTPS/SSL
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
Caída de paquetes, el IPS no analiza todo el trafico.
Configuración incorrecta- el IDS/IPS no tiene firmas para
protocoles usados en la red, no se puede agregar firmas en
varios IDS/IPS.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS
• Port scanners –
la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3
intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada
continumente. Tool-MingSweeper.
• Encoding -
• //////// -
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
como atacar bajo el “radar” del IDS/IPS
• /./././ –
Todo el mundo sabe que. / es en este directorio, de forma que:
/././cgibin/testcgi
Es como:
/cgibin/testcgi
• \cgibin\testcgi
\cgibin\testcgi
Es lo mismo como:
/cgibin/testcgi
No funsina con IIS
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS
Snort (www.snort.org)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Open Source In-Line IDS/IPS: Hogwash
http://hogwash.sourceforge.net/oldindex.html
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
Senario:
Al mismo tiempo alguien esta escaneando puertos abiertos en
el Router externo y alguien esta tratando de loguiar varias
veces sin éxito al servidor de finanzas…
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
OSSIM www.ossim.net
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSIM www.ossim.net
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
OSSIM www.ossim.net
ArcSight www.arcsight.com
Novell Sentinal
www.novell.com/products/sentinel/
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Ethical Hacking
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Objetivo Ethical Hacking
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias
• El trabajo del “penetrator tester” termina cuando
encuentra todas las vulnerabilidades del sistema
tanto en el Gateway como en el firewall o como
en cualquier componente de la red que está
analizando. Además tiene tiempo limitado para
realizar el test. Elaboración de informe de
seguridad y documentación así como soluciones
a los problemas encontrados.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Los 2 ambientes básicos
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
¿Por qué hacer un Penetration Test?
funcionen.
• Estar tranquilo.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reglas de compromiso
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reporte
• Los reportes deben...
– No deben tener falsos positivos
– Resultados que establezcan prioridades
– Secciones técnica y ejecutiva por separado
– Establecer qué recursos son necesarios
– Recomendaciones para el mundo real
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSTMM
• OSSTMM – Open-Source Security Testing
Methodology Manual
• Version 2.0 at www.osstmm.org (redirects to
http://www.isecom.org/projects/osstmm.htm)
• Desarrollado por Pete Herzog, es un documento
vívido sobre cómo hacer un penetration test.
• Define como proceder en un pen test, pero no
habla sobre las herramientas actuales.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Técnica – Penetration Testing
• Recoger Información
• Scan direcciones IP
• Evaluar la información
• Explotar servicios vulnerables
• Elevar el acceso
• Repetir
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.