Herramientas para la Seguridad Informtica

Un problema de direccin
Por: Ing. Adonys Maceo 2010

Antecedentes

Evento:

Cualquier ocurrencia observable en la red o sistema

Conexin a servidores (web, e-mail, etc)

Incidente:

Evento adverso con consecuencias negativas

Negacin de servicios Cdigo malicioso

El porqu de la Seguridad

En cualquier sociedad, existe un porcentaje de gente maliciosa. Se estima que Internet tiene mas de 1500 millones de usuarios (tomado de wikipedia). Suponiendo que 1% es el nmero de usuarios maliciosos resulta convivimos con mas de 15 millones y evidente que debera preocuparnos.

Necesidad de proteger y mantener en ejecucin de los servicios de una red

Servidores fsicos Servidores de correo, DNS, Proxy, WWW y servicios

Servidores de mensajera instantnea y servicios

Servidores de ficheros y servicios Datos internos de la empresa Infraestructura de la red (cables, hubs, switches, routers, etc.)

contra qu lo quieres proteger?

Daos fsicos (humo, agua, comida, etc.) Borrado / modificacin de datos (registros contables, deterioro de tu sitio web, etc.)

Exposicin de datos (registros contables, etc.)

Continuidad de servicios (mantenimiento activo de los servidores de correo/www/ficheros) Evitar que otros hagan uso ilegal/impropio de tus servicios (envos masivos de correos, etc.)

cul es la probabilidad de que se d un suceso determinado?

Escaneos de red puedes apostar que a diario Ingeniera social vara, normalmente suelen ser objetivo la gente ms vulnerable Intrusin fsica depende, bastante rara, pero un empleado hostil con un par de alicates podra causar mucho dao en un armario de telecomunicaciones Empleados que venden datos a la competencia ocurre La competencia, que alquile a gente especializada para penetrar activamente en tu red nadie suele hablar de esto, pero tambin ocurre

posibles resultados derivados de un incidente de seguridad

Prdidas de datos Perdida directa de beneficios (ventas va web, el servidor de ficheros inactivo, etc) Costes en tiempo de personal Prdida de productividad del departamento de informtica, as como de los trabajadores dependientes de su infraestructura Implicaciones legales (registros mdicos, registros contables de clientes, etc.)

Prdida de la confianza por parte del cliente

Publicidad por parte de los medios de comunicacin

como minimizar el impacto de los incidentes de seguridad?

Con la Preparacin y prevencin Software para atenuar el incidente

Parches de Seguridad Respaldos Herramientas para el anlisis y control de los recursos de software y hardware Prevencin contra cdigo malicioso (a nivel de servidor, de host, clientes)

como minimizar el impacto de los incidentes de seguridad?

Instalar los servicios indispensables con sus bitcoras activadas Concientizacin y capacitacin (alfabetizacin digital, procedimientos, polticas)

Herramientas para anlisis control de hardware

EVEREST Corporate Edition

H+S Instalado y con cambios Monitoreo y Control Remoto

Herramientas para anlisis control de hardware

OCS Inventory Next Generation

Soporta Multiples SO: Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X. Bajo consumo de ancho de banda (5KB inventario total)

Administracin Web

Herramientas de Seguridad

Nessus

Auditor de Seguridad Remoto. El cliente "The Nessus Security Scanner" es una herramienta de auditora de seguridad. Hace posible evaluar mdulos de seguridad intentando encontrar puntos vulnerables que deberan ser reparados. Est compuesto por dos partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se encarga de los ataques, mientras que el cliente, "nessus", se ocupa del usuario por medio de una linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que adems existe en otras formas y para otras platarformas.

Herramientas de Seguridad

Snort
un

Sniffer/logger de paquetes flexible que detecta ataques. Snort est basado en la biblioteca `libpcap' y puede ser usado como un "sistema de deteccin de intrusiones" (IDS) de poco peso. Posee un registro basado en reglas y puede buscar/identificar contenido adems de poder ser usado para detectar una gran variedad de otros ataques e investigaciones (probes), como buffer overflows, barridos de puertos indetectables (stealth port scans), ataques CGI, pruebas de SMB (SMB probes), y mucho ms. Otra caracterstica importante de Snort es la capacidad de alertar en tiempo real, siendo estas alertas enviadas a syslog, un archivo de alerta separado o incluso a una computadora con Windows a travs de Samba.

Herramientas de Seguridad

Saint
SAINT

(Security Administrator's Integrated Network Tool, o sea, Herramienta De Red Integrada Del Adminstrador de Seguridad) es una herramienta de evaluacin de seguridad basada en SATAN. Incluye escaneos _a_travs_ de un firewall, chequeos de seguridad actualizados de los boletines de CERT Y CIAC, 4 niveles de severidad (rojo, amarillo, marrn y verde) y una interfaz HTML rica en caractersticas.

Herramientas de Seguridad

Whisker

El excelente escner de vulnerabilidades en CGI de Rain.Forest.Puppy. Un escner de seguridad comercial muy popular

Internet Security Scanner

Herramientas de Seguridad

Abacus Portsentry

Este demonio de deteccin de barrido de puertos tiene la habilidad de detectar estos barridos (incluyendo "stealth scans") en las interfaces de red de tu mquina. Como medida de alarma, puede bloquear al atacante por medio de "hosts.deny", bloqueando el ruteo hacia la mquina hostil o por medio de reglas de firewall. Es parte del set de programas "Abacus".

Herramientas de Seguridad

SATAN Herramienta de Auditora de Seguridad para Analizar Redes (Security Auditing Tool for Analysing Networks). sta es una poderosa herramienta para analizar redes en bsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de info.

Herramientas de Seguridad

SARA (http://www-arc.com/sara/) El Asistente de Investigacin para el Auditor de Seguridad (Security Auditor's Research Assistant) es una herramienta de anlisis de seguridad de tercera generacin que est basada en el modelo de SATAN y distribuda bajo una licencia del estilo de la GNU GPL. Promueve un ambiente colaborativo y es actualizada peridicamente para tener en cuenta las ltimas amenazas.

Herramientas de Seguridad

Ntop Muestra la utilizacin de la red al estilo de la herramienta `top'. Muestra un sumario del uso de la red de las mquinas en ella en un formato que recuerda a la utilidad de unix `top'. Tambin puede ser utilizada en un `web mode', que permite ver los resultados a travs de un explorador de web.

Herramientas de Seguridad

NAT (NetBIOS Auditing Tool) La herramienta de auditora de NetBIOS est diseada para explorar los servicios de NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa una enfoque paso a paso para recolectar informacin e intenta obtener acceso a archivos con permisos de sistema (`system-access') como si se fuera un cliente local legtimo.

Herramientas de Seguridad

Logcheck
Enva

al administrador mensajes por e-mail informando de las anomalas en los archivos de registro del sistema. Es un programa creado para ayudar en el procesamiento de los archivos de registro de UNIX. Logcheck ayuda a localizar problemas y violaciones de seguridad en tus archivos de registro automticamente y te enva los resultados por e-mail.

Herramientas de Seguridad

LSOF `List Open FileS'. `Listar archivos arbiertos'. lsof es una herramienta de diagnstica especfica de Unix. Lista informacin acerca de cualquiera archivo abierto por procesos que estn actualmente corriendo en el sistema.

Herramientas de Seguridad

Lids LIDS es un sistema de deteccin/defensa de intrusin en Linux. El objetivo es proteger a sistemas con Linux para prevenir intrusiones a nivel de root, deshabilitando algunas llamadas a sistema en el kener mismo. Ya que a veces vas a necesitar administrar el sistema, pods deshabilitar la proteccin de LIDS.

Herramientas de Seguridad

IPTraf `Interactive Colorful IP LAN Monitor IPTraf' (o sea el monitor de IP en LAN IPTraf Colorido e Interactivo) es un monitor de IP en LAN basado en `ncurses' que genera varias estadsticas de red incluyendo informacin sobre TCP, conteos de UDP, informacin de ICMP y OSPF; informacin sobre Ethernet, estadsticas por nodo, errores de `checksum' de IP, y dems.

Herramientas de Seguridad

GPG/PGP La "Guardia De Privacidad de GNU". GnuPg es un reemplazo libre y completo de PGP, desarrollado en Europa. Al no requerir de IDEA, o RSA, puede ser usado sin restricciones. GnuPg es una aplicacin compatible con el RFC 2440 (OpenPGP). PGP es el programa de cifrado famoso que ayuda a asegurar tus datos de curiosos y otros riesgos.

Herramientas de Seguridad

Mas herramientas de seguridad Se pueden encontrar en http://sectools.org/

Herramienta de Monitoreo de Red

Arpwatch Monitorea el trafico ARP (Address Resolution Protocol). Genera un log de pares IP/MAC y enva un correo si un nuevo dispositivo es conectado a la red.

Herramientas de Monitoreo de Red totalmente gratis

Nagios (http://www.nagios.org/) Just For Fun Network Management System (JFFNMS - http://www.jffnms.org/)

Big Sister System and Network Monitor (http://www.ziptie.org/ )

Netdisco (http://netdisco.org/)

Herramientas de Monitoreo de Red

6 A Escala Empresarial que han sustituido suite de HP, IBM, ...

Quest Big Brother (http://www.quest.com/bigbrother/) GroundWork Monitor Professional (http://www.groundworkopensource.com)

Hyperic HQ Enterprise (http://www.hyperic.com/)

OpenNMS (http://www.opennms.com)

OpenQRM (http://www.openqrm.org/)
Zenoss Core (http://www.zenoss.com)

Herramienta de Monitoreo de Red

Nagios: Sistema de monitorizacin de redes de cdigo abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus caractersticas principales figuran la monitorizacin de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorizacin de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorizacin remota mediante tneles SSL cifrados SSH, y la posibilidad de programar plugins especficos para nuevos sistemas.

Herramienta de Monitoreo de Red

Nagios (cont...): Se trata de un software que proporciona una gran versatilidad para consultar prcticamente cualquier parmetro de inters de un sistema, y genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrnico y mensajes SMS, cuando estos parmetros exceden de los mrgenes definidos por el administrador de red. Llamado originalmente Netsaint, nombre que se debi cambiar por coincidencia con otra marca comercial, fue creado y es actualmente mantenido por Ethan Galstad, junto con un grupo de desarrolladores de software que mantienen tambin varios complementos.

Herramienta de Monitoreo de Red

Cacti Completa solucin WEB de graficado en red, diseada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool; provee plantillas de grficos avanzadas, mltiples mtodos para la recopilacin de datos, y manejo de usuarios. Tiene una interfaz de usuario fcil de usar.

Herramientas de Monitoreo de Red

Mas herramientas de monitoreo de red Se pueden encontrar en: http://www.slac.stanford.edu/xorg/nmtf/nmtftools.html

Por que un problema de Direccin?

La direccin de una empresa debe aprobar todos los cambios en la configuracin de sus servidores Como puede controlar que la configuracin aprobada no se ha alterado deliberadamente en el tiempo? Como se entera el RSI y la direccin de la empresa que ha cambiado la con figuracin de sus servidores?

Comprobador de integridad de archivos y directorios

herramienta que ayuda a administradores y usuarios de sistemas monitoreando alguna posible modificacin en algn set de archivos.

Herramientas de Integridad de archivos

Afick (http://afick.sourceforge.net/) AIDE (http://sf.net/projects/aide) Fcheck Integrit (http://integrit.sourceforge.net/) Osiris (http://www.shmoo.com/)

OSSEC (http://www.ossec.net/)
Samhain (http://www.la-samhna.de/samhain/)

Tripwire (http://sourceforge.net/projects/tripwire/)

Administracin centralizada
Osiris y Samhain ambos proporcionan soporte integrado para registro centralizado y la gestin

Muchas Gracias