SlideShare une entreprise Scribd logo

Seguretat de Xarxa

Carles Mateu
Carles Mateu
Technologie
1  sur  53
SeguretatSeguretat Seguretat de XarxaSeguretat de XarxaV2011/02V2011/02 Carles Mateu – Cèsar Fernández – Ramon Bèjar – Enric GuitartCarles Mateu – Cèsar Fernández – Ramon Bèjar – Enric Guitart Departament d'Informàtica i Enginyeria IndustrialDepartament d'Informàtica i Enginyeria Industrial Universitat de LleidaUniversitat de Lleida
Les 5 P d'un Atac de xarxa
Probe
Penetrate
Persist
Propagate
Profit
Probe ● Obtenció informació pública: ● WHOIS, ARIN, DNS, etc. ● Web corporativa ● Reconeixement bàsic (web?) ● Rutes, IPs, etc.
Probe ● Port scan i scan de programari/versió ● Esbrinar ports oberts -> serveis ● Esbrinar versions sistemes operatius ● Esbrinar versions de programari servidor ● “detectar” firewalls, etc. NMAP: www.nmap.org
Probe ● Detectors de vulnerabilitats automàtics: ● Esbrinar potencials errors / exploits ● Decidir vector d'atac ● Esbrinar potencials males configuracions ● Detectar aplicacions errònies (web) Nessus, OpenVAS, nikto.pl, etc.
Penetrate ● Força bruta -> autenticació ● Buffer overflows ● Application behaviour boundary flaws ● Errors de configuració de sistema ● Validació errònia d'input d'usuari Metasploit, XSS, etc.
Persist ● Més exploits (locals) ● Backdoors ● Rootkits ● Troians ● Passwords ● Logs/audit John the ripper, etc.
Propagate ● Altres màquines: ● Circuits de confiança ● Ports accessibles ● Passwords similars ● BBDD autenticació
Profit ● Fer el que voliem fer: ● Robar dades ● Enviar SPAM ● Phishing ● ... ● DoS/DDoS
The function of a strong position is to make the forces holding it practically unassailable. On War, Carl Von Clausewitz On the day that you take up your command, block the frontier passes, destroy the official tallies, and stop the passage of all emissaries. The Art of War, Sun Tzu
Seguretat Perimetral ● La finalitat de la seguretat perimetral és establir un perímetre (un contorn) de confiança. ● És a dir: definir un àrea segura, aixecar barreres que l'envoltin, definir mecanismes d'ingrés i sortida de la zona, mecanismes de vigilancia de la zona. ● La finalitat és que dins de l'àrea poguem confiar en el trànsit i en que els hosts són segurs.
Eines per seguretat perimetral ● Firewalls ● Proxys ● Bandwidth managers ● Passive Sniffers / Packet Screening ● Port Access Control ● IDS de xarxa ● VPNs ● Honeypots
● Un firewall (tallafocs) és una barrera que tot el trànsit de xarxa (bidireccional) ha de traspassar. ● El firewall permetrà o denegarà aquest pas en funció de la definició de polítiques de l'organització. ● Un firewall pot operar a nivell IP (packet screening) o a nivell d'aplicació (application proxy).
● Del firewall individual a la xarxa moderna: ● Múltiples xarxes interconnectades ● Accés remot des del domicili ● Accés en roaming ● Múltiples serveis de xarxa ● Connectivitat a Internet ● Múltiples serveis en xarxa
● Técniques de control de trànsit: ● Control de trànsit: En funció del servei emprat (port) es permet o no, o es redirecciona el trànsit. ● Control d'usuaris: requerint validació per cada accés a un servei. ● Control de comportament: revisa patrons d'utilització per permetre/denegar serveis. ● Control horàri/entorn: només permet trànsit en funció de paràmetres externs (horaris, etc.).
Bondats/Febleses ● Únic punt de control: ● Facilita implantació i gestió ● SPOF ● Cost raonable ● Altres usos: ● Monitorització d'events de seguretat ● NAT/PAT/etc. ● Túnels/IPSec/VPN/etc.
Bondats/Febleses ● Només protegeix contra problemes trànsit: ● No controla altres connexions (modem, mòbils, wifi, etc.). ● No proporciona seguretat interna. ● No controla continguts. ● No “agrada” als usuaris ● Complica disseny de xarxa
Tipus ● Packet-Screening Router ● Application Gateway ● Circuit Gateway/Protocol Proxy
Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Network Layer Application A Application B Data Link Layer Physical Layer Network Layer Data Link Layer Physical Layer Communication Network
Packet Screening ● Packet-Screening Router ● Equipament de xarxa, nivell 3 ● Inspecciona TOTS els packets de xarxa ● En funció de dades de packet pren decisions: – IP Origen – IP Destinació – Port/Servei – Interfície
Packet Screening ● Política per defecte: – Discard - Forward ● Tipus HW: – “Servidor” – Router – Switch
Packet Screening ● Simples → Fàcils de mantenir/montar ● No examinen payload: ● Sensibles a contingut maliciós ● Logging limitat: ● Paquets ● “connexió”/fluxe ● Sobre-logging ● No disponibles esquemes autenticació
Packet Screening ● Vulnerables a enganys de falsejament IP (spoofing, source routing, fragmentation) ● Sensibles a DoS/DDos: ● Limitats en capacitat ● Decisió sobre dades no correlades ● Fàcil fer una mala configuració. ● Tendència a donar sensació d'invulnerabilitat.
Stateful Inspection Firewalls ● Evolució dels packet screening. ● Mantenen informació sobre connexions establertes i en curs. ● Relacionen diverses connexions (ex: FTP). ● Poden revisar part del payload del paquet (FTP, H.323, etc.). ● Permet crear regles realistes: ● Permetre FTP cap a hosts externs.
Application Gateway ● (Application proxy) ● L'accés a aplicacions de xarxa no és directe: ● Accedeixes al gateway no a l'aplicació ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement. ● Molesten als usuaris.
Circuit Gateway ● (Circuit proxy) ● L'accés a aplicacions de xarxa no és directe però tampoc accedeixes al gateway. ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement (no tant com appl.) ● Molesten als usuaris (no tant com appl.) ● Bon suport en alguns casos (p.e. HTTP)
Bastió ● Sistema particularment segur: ● Tot el que s'ha explicat a seguretat de sistemes. ● Executa gateways. ● Pot requerir autenticació als gateways. ● Filtres als gateways: ● Destinacions, prestacions, etc. ● Juntament amb packet screening: ● Molt bona seguretat.
Configuració IPTABLES ● Firewall de LINUX (Kernel level) ● Evolució de IPCHAINS ● Permet definir cadenes i taules de processament i inspecció de paquets. ● Permet definir regles d'inspecció de paquets.
Configuració IPTABLES ● Una cadena és una llista de regles “programa”. ● Cada regla pot aplicar una acció als paquets (si hi ha matching). ● Una acció pot ser: ● DROP ● DENY ● ACCEPT ● xNAT ● Saltar a un altra cadena
Seqüencia processament IP PAS TAULA CADENA Processament 1 2 mangle PREROUTING 3 nat PREROUTING Desfer DNAT. 4 ROUTING 5 mangle INPUT 6 INPUT Filtratge de paquets entrants. Nivell Físic: Ethernet, etc. Modificacions de paquets (TOS, TTL, MARK) “mangoneo” Modificacions de paquets entrants. filter ● Destinació host local
Seqüencia processament IP PAS TAULA CADENA Processament 1 ROUTING 2 mangle OUTPUT 3 nat OUTPUT 4 OUTPUT Filtratge de paquets sortints 5 mangle POSTROUTING 6 nat POSTROUTING SNAT paquets enviats Modificacions de paquets sortints (no filtrat) NAT als paquets originats firewall filter Modificacions de paquets sortints (nostres i forward) ● Origen host local
Seqüencia processament IP 1 mangle PREROUTING Canvis TOS, etc. 2 nat PREROUTING DNAT (Destinació) 3 ROUTING 4 mangle FORWARD Modificacions de paquets 5 FORWARD 6 mangle POSTROUTING Modificacions de paquets 7 nat POSTROUTING filter Filtrat de TOTS els paquets reenviats SNAT (Source) ● A través de host local
Seqüencia processament IP
Seqüencia processament IP ● Taula mangle: ● Modificació de paquets: – TTL – TOS – MARK ● MARK assigna “marques” reconegudes per IPR2 i CBQ – Routing basat en marques – Qualitat de servei
Seqüencia processament IP ● Taula nat: ● Modificació adreces de paquets. ● DNAT: Destination NAT ● SNAT: Source NAT ● MASQUERADE: n -> 1 NAT
Seqüencia processament IP ● Taula filter: ● Taula bàsica de filtrat ● Regles de DROP, ACCEPT, REJECT, REDIRECT, etc. ● Aquí s'aplica tot el filtrat.
Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -A --append: Afegir a una cadena. ● -D --delete ● -R --replace ● -I --insert ● -L --list ● -F --flush ● -N --new-chain ● -P --policy
Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -s --src --source : Origen IP o màscara ● -d --dst --destination: Destinació IP o màscara ● -p --protocol: Protocol (tcp, udp, icmp, all) ● -i --in-interface: I/F xarxa entrada ● -o --out-interface: I/F xarxa sortida Soporten (!) per negació
Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● --sport --source-port : Port origen ● --dport --destination-port: Port destinació Soporten rangs de ports: 22:80
Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -j CADENA: ● Salta a <CADENA> ● Cadena pot ser acció o nova cadena: – ACCEPT, DROP, MASQUERADE
Una Regla ● Podem a més comparar: ● Flags TCP: – --tcp-flags – --syn ● Opcions TCP: – --tcp-option ● Tipus ICMP: – --icmp-type
Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m limit – --limit <lim>: Limitem el nombre de matchings màxim (p.e. 3 per dia, etc.) – --limit-burts <n> : Nombre màxim de paquets (en –limit) ● -m mac – MAC orígen i destinació (--mac-source –mac-destination) ● -m mark – Marques (que podem posar amb iptables).
Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m owner – UID “propietàri” del paquet ● -m state – Estat de la connexió: ● RELATED, ESTABLISHED, NEW, INVALID ● -m tos – TCP TOS ● -m ttl – TCP TTL
Exemple ## FLUSH iptables -F iptables -X iptables -Z iptables -t nat -F ## DEFAULT POLICY iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## FILTRES ## eth0: ETHERNET CAP AL ROUTER ## eth1: ETHERNET A XARXA # LOCALHOST (simple) iptables -A INPUT -i lo -j ACCEPT # SSH del firewall desde xarxa local iptables -A INPUT -s 192.168.1.0/24 -i eth1 --dport 22 -j ACCEPT (cont)
Exemple (cont) # # Fem NAT, Obrim a l'exterior el port 80 d'un servidor intern # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.12:80 # # Permetem accedir al MYSQL del servidor de l'empresa a només el servidor web # que tenim hostatjat al ISP # iptables -t nat -A PREROUTING -s 2.3.4.5 -i eth0 -p tcp --dport 3306 -j DNAT --to 192.168.1.12:3306 # # Només deixem accedir al correu (25) al server del ISP iptables -A FORWARD -s 192.168.1.0/24 -d 2.3.4.5 -i eth1 -p tcp --dport 25 -j ACCEPT (cont)
Exemple (cont) # Consulta de DNS iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT # Permetem navegació WEB # (i HTTPS) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # Xat XMPP (jabber/google talk) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT # TOTA LA RESTA DENEGADA iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP ## Ara ve el MASQ (NAT n->1) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE # Linux, per defecte, no fa Forwarding de paquets. # S'ha d'activar echo 1 > /proc/sys/net/ipv4/ip_forward

Recommandé

OSPF
OSPFOSPF
OSPFXavier Sala Pujolar
 
Dai 09-ruby on rails
Dai 09-ruby on railsDai 09-ruby on rails
Dai 09-ruby on railsCarles Mateu
 
Gamificacio - Noves Tecnologies Turisme
Gamificacio - Noves Tecnologies TurismeGamificacio - Noves Tecnologies Turisme
Gamificacio - Noves Tecnologies TurismeCarles Mateu
 
Com fer presentacions
Com fer presentacionsCom fer presentacions
Com fer presentacionsCarles Mateu
 
La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCCSUC - Consorci de Serveis Universitaris de Catalunya
 
Introducció a Shorewall
Introducció a ShorewallIntroducció a Shorewall
Introducció a Shorewalldawnlua
 
Seguretat de Sistemes
Seguretat de SistemesSeguretat de Sistemes
Seguretat de SistemesCarles Mateu
 
Sbaguda357 presentacioxarxes
Sbaguda357 presentacioxarxesSbaguda357 presentacioxarxes
Sbaguda357 presentacioxarxesSusanna Bagudà Bahí
 

Recommandé

OSPF
OSPFOSPF
OSPFXavier Sala Pujolar
 
Dai 09-ruby on rails
Dai 09-ruby on railsDai 09-ruby on rails
Dai 09-ruby on railsCarles Mateu
 
Gamificacio - Noves Tecnologies Turisme
Gamificacio - Noves Tecnologies TurismeGamificacio - Noves Tecnologies Turisme
Gamificacio - Noves Tecnologies TurismeCarles Mateu
 
Com fer presentacions
Com fer presentacionsCom fer presentacions
Com fer presentacionsCarles Mateu
 
La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCCSUC - Consorci de Serveis Universitaris de Catalunya
 
Introducció a Shorewall
Introducció a ShorewallIntroducció a Shorewall
Introducció a Shorewalldawnlua
 
Seguretat de Sistemes
Seguretat de SistemesSeguretat de Sistemes
Seguretat de SistemesCarles Mateu
 
Sbaguda357 presentacioxarxes
Sbaguda357 presentacioxarxesSbaguda357 presentacioxarxes
Sbaguda357 presentacioxarxesSusanna Bagudà Bahí
 
Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Arnau Davesa Turró
 
Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Arnau Davesa Turró
 
Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Arnau Davesa Turró
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxTOMAS GARCIA VERDUGO
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2Albert Garcia
 
La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.carlaprat
 
Crypto Party BCN
Crypto Party BCNCrypto Party BCN
Crypto Party BCNjordi.ipa
 
Internet david lorente
Internet david lorenteInternet david lorente
Internet david lorenteDavid Lorente
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2Albert Garcia
 
Balanceig de càrrega amb Mikrotik
Balanceig de càrrega amb MikrotikBalanceig de càrrega amb Mikrotik
Balanceig de càrrega amb MikrotikJordi Clopés Esteban
 
Mètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuarisMètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuarismitchbcn
 
Xarxes locals
Xarxes localsXarxes locals
Xarxes localsTxell Tapiolas
 
Internet
InternetInternet
InternetJose - Tecnologia INS Joan Mercader
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoTCSUC - Consorci de Serveis Universitaris de Catalunya
 
Tema2 info xarxes
Tema2 info xarxesTema2 info xarxes
Tema2 info xarxesTxeli
 
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...williamsnet
 
Local Exploits
Local ExploitsLocal Exploits
Local ExploitsCarles Mateu
 
Virtualització
VirtualitzacióVirtualització
VirtualitzacióCarles Mateu
 

Contenu connexe

Similaire à Seguretat de Xarxa

Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxTOMAS GARCIA VERDUGO
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2Albert Garcia
 
La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.carlaprat
 
Crypto Party BCN
Crypto Party BCNCrypto Party BCN
Crypto Party BCNjordi.ipa
 
Internet david lorente
Internet david lorenteInternet david lorente
Internet david lorenteDavid Lorente
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSalvi Borrat
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2Albert Garcia
 
Mètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuarisMètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuarismitchbcn
 
Tema2 info xarxes
Tema2 info xarxesTema2 info xarxes
Tema2 info xarxesTxeli
 
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...williamsnet
 

Similaire à Seguretat de Xarxa (20)

Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2
 
Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2
 
Adavesa386 presentaciótema2
Adavesa386 presentaciótema2Adavesa386 presentaciótema2
Adavesa386 presentaciótema2
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knx
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2
 
La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.La BIOS. / Com connectar-se a la xarxa.
La BIOS. / Com connectar-se a la xarxa.
 
Crypto Party BCN
Crypto Party BCNCrypto Party BCN
Crypto Party BCN
 
Internet david lorente
Internet david lorenteInternet david lorente
Internet david lorente
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxes
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxes
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxes
 
Sborrat382 presentacioxarxes
Sborrat382 presentacioxarxesSborrat382 presentacioxarxes
Sborrat382 presentacioxarxes
 
Correo y agenda electronica uf2
Correo y agenda electronica uf2Correo y agenda electronica uf2
Correo y agenda electronica uf2
 
Balanceig de càrrega amb Mikrotik
Balanceig de càrrega amb MikrotikBalanceig de càrrega amb Mikrotik
Balanceig de càrrega amb Mikrotik
 
Mètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuarisMètodes per auditar l'activitat dels usuaris
Mètodes per auditar l'activitat dels usuaris
 
Xarxes locals
Xarxes localsXarxes locals
Xarxes locals
 
Internet
InternetInternet
Internet
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoT
 
Tema2 info xarxes
Tema2 info xarxesTema2 info xarxes
Tema2 info xarxes
 
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
Mun abraham adrian_matias_duran_sampol_fernandez_guillermofrancisco_usbfirewi...
 

Plus de Carles Mateu

Dai 9 - Ruby on Rails
Dai 9 - Ruby on RailsDai 9 - Ruby on Rails
Dai 9 - Ruby on RailsCarles Mateu
 
Curs Estiu: Continguts
Curs Estiu: ContingutsCurs Estiu: Continguts
Curs Estiu: ContingutsCarles Mateu
 
Curs Estiu: Laboratori 1
Curs Estiu: Laboratori 1Curs Estiu: Laboratori 1
Curs Estiu: Laboratori 1Carles Mateu
 
Curs Estiu: Laboratori 2
Curs Estiu: Laboratori 2Curs Estiu: Laboratori 2
Curs Estiu: Laboratori 2Carles Mateu
 
Curs Estiu: Laboratori 3
Curs Estiu: Laboratori 3Curs Estiu: Laboratori 3
Curs Estiu: Laboratori 3Carles Mateu
 
Curs Estiu: Laboratori 0
Curs Estiu: Laboratori 0Curs Estiu: Laboratori 0
Curs Estiu: Laboratori 0Carles Mateu
 
Introducció als Blogs
Introducció als BlogsIntroducció als Blogs
Introducció als BlogsCarles Mateu
 
Màster Enginyeria Programari Lliure
Màster Enginyeria Programari LliureMàster Enginyeria Programari Lliure
Màster Enginyeria Programari LliureCarles Mateu
 
Visions Professionals Programari Lliure
Visions Professionals Programari LliureVisions Professionals Programari Lliure
Visions Professionals Programari LliureCarles Mateu
 
Universitat Estiu: Introducció Programari Lliure
Universitat Estiu: Introducció Programari LliureUniversitat Estiu: Introducció Programari Lliure
Universitat Estiu: Introducció Programari LliureCarles Mateu
 

Plus de Carles Mateu (15)

Local Exploits
Local ExploitsLocal Exploits
Local Exploits
 
Virtualització
VirtualitzacióVirtualització
Virtualització
 
Dai 9 - Ruby on Rails
Dai 9 - Ruby on RailsDai 9 - Ruby on Rails
Dai 9 - Ruby on Rails
 
Curs Estiu: Continguts
Curs Estiu: ContingutsCurs Estiu: Continguts
Curs Estiu: Continguts
 
Curs Estiu: Laboratori 1
Curs Estiu: Laboratori 1Curs Estiu: Laboratori 1
Curs Estiu: Laboratori 1
 
Curs Estiu: Laboratori 2
Curs Estiu: Laboratori 2Curs Estiu: Laboratori 2
Curs Estiu: Laboratori 2
 
Curs Estiu: Laboratori 3
Curs Estiu: Laboratori 3Curs Estiu: Laboratori 3
Curs Estiu: Laboratori 3
 
Curs Estiu: Laboratori 0
Curs Estiu: Laboratori 0Curs Estiu: Laboratori 0
Curs Estiu: Laboratori 0
 
Microblogs
MicroblogsMicroblogs
Microblogs
 
Xarxes Socials
Xarxes SocialsXarxes Socials
Xarxes Socials
 
Introducció als Blogs
Introducció als BlogsIntroducció als Blogs
Introducció als Blogs
 
Felicitacio
FelicitacioFelicitacio
Felicitacio
 
Màster Enginyeria Programari Lliure
Màster Enginyeria Programari LliureMàster Enginyeria Programari Lliure
Màster Enginyeria Programari Lliure
 
Visions Professionals Programari Lliure
Visions Professionals Programari LliureVisions Professionals Programari Lliure
Visions Professionals Programari Lliure
 
Universitat Estiu: Introducció Programari Lliure
Universitat Estiu: Introducció Programari LliureUniversitat Estiu: Introducció Programari Lliure
Universitat Estiu: Introducció Programari Lliure
 

Seguretat de Xarxa

  • 1. SeguretatSeguretat Seguretat de XarxaSeguretat de XarxaV2011/02V2011/02 Carles Mateu – Cèsar Fernández – Ramon Bèjar – Enric GuitartCarles Mateu – Cèsar Fernández – Ramon Bèjar – Enric Guitart Departament d'Informàtica i Enginyeria IndustrialDepartament d'Informàtica i Enginyeria Industrial Universitat de LleidaUniversitat de Lleida
  • 2. Les 5 P d'un Atac de xarxa
  • 8. Probe ● Obtenció informació pública: ● WHOIS, ARIN, DNS, etc. ● Web corporativa ● Reconeixement bàsic (web?) ● Rutes, IPs, etc.
  • 9. Probe ● Port scan i scan de programari/versió ● Esbrinar ports oberts -> serveis ● Esbrinar versions sistemes operatius ● Esbrinar versions de programari servidor ● “detectar” firewalls, etc. NMAP: www.nmap.org
  • 10. Probe ● Detectors de vulnerabilitats automàtics: ● Esbrinar potencials errors / exploits ● Decidir vector d'atac ● Esbrinar potencials males configuracions ● Detectar aplicacions errònies (web) Nessus, OpenVAS, nikto.pl, etc.
  • 11. Penetrate ● Força bruta -> autenticació ● Buffer overflows ● Application behaviour boundary flaws ● Errors de configuració de sistema ● Validació errònia d'input d'usuari Metasploit, XSS, etc.
  • 12.
  • 13.
  • 14. Persist ● Més exploits (locals) ● Backdoors ● Rootkits ● Troians ● Passwords ● Logs/audit John the ripper, etc.
  • 15. Propagate ● Altres màquines: ● Circuits de confiança ● Ports accessibles ● Passwords similars ● BBDD autenticació
  • 16. Profit ● Fer el que voliem fer: ● Robar dades ● Enviar SPAM ● Phishing ● ... ● DoS/DDoS
  • 17. The function of a strong position is to make the forces holding it practically unassailable. On War, Carl Von Clausewitz On the day that you take up your command, block the frontier passes, destroy the official tallies, and stop the passage of all emissaries. The Art of War, Sun Tzu
  • 18. Seguretat Perimetral ● La finalitat de la seguretat perimetral és establir un perímetre (un contorn) de confiança. ● És a dir: definir un àrea segura, aixecar barreres que l'envoltin, definir mecanismes d'ingrés i sortida de la zona, mecanismes de vigilancia de la zona. ● La finalitat és que dins de l'àrea poguem confiar en el trànsit i en que els hosts són segurs.
  • 19. Eines per seguretat perimetral ● Firewalls ● Proxys ● Bandwidth managers ● Passive Sniffers / Packet Screening ● Port Access Control ● IDS de xarxa ● VPNs ● Honeypots
  • 20. ● Un firewall (tallafocs) és una barrera que tot el trànsit de xarxa (bidireccional) ha de traspassar. ● El firewall permetrà o denegarà aquest pas en funció de la definició de polítiques de l'organització. ● Un firewall pot operar a nivell IP (packet screening) o a nivell d'aplicació (application proxy).
  • 21. ● Del firewall individual a la xarxa moderna: ● Múltiples xarxes interconnectades ● Accés remot des del domicili ● Accés en roaming ● Múltiples serveis de xarxa ● Connectivitat a Internet ● Múltiples serveis en xarxa
  • 22. ● Técniques de control de trànsit: ● Control de trànsit: En funció del servei emprat (port) es permet o no, o es redirecciona el trànsit. ● Control d'usuaris: requerint validació per cada accés a un servei. ● Control de comportament: revisa patrons d'utilització per permetre/denegar serveis. ● Control horàri/entorn: només permet trànsit en funció de paràmetres externs (horaris, etc.).
  • 23. Bondats/Febleses ● Únic punt de control: ● Facilita implantació i gestió ● SPOF ● Cost raonable ● Altres usos: ● Monitorització d'events de seguretat ● NAT/PAT/etc. ● Túnels/IPSec/VPN/etc.
  • 24. Bondats/Febleses ● Només protegeix contra problemes trànsit: ● No controla altres connexions (modem, mòbils, wifi, etc.). ● No proporciona seguretat interna. ● No controla continguts. ● No “agrada” als usuaris ● Complica disseny de xarxa
  • 25. Tipus ● Packet-Screening Router ● Application Gateway ● Circuit Gateway/Protocol Proxy
  • 27. Packet Screening ● Packet-Screening Router ● Equipament de xarxa, nivell 3 ● Inspecciona TOTS els packets de xarxa ● En funció de dades de packet pren decisions: – IP Origen – IP Destinació – Port/Servei – Interfície
  • 28. Packet Screening ● Política per defecte: – Discard - Forward ● Tipus HW: – “Servidor” – Router – Switch
  • 29. Packet Screening ● Simples → Fàcils de mantenir/montar ● No examinen payload: ● Sensibles a contingut maliciós ● Logging limitat: ● Paquets ● “connexió”/fluxe ● Sobre-logging ● No disponibles esquemes autenticació
  • 30. Packet Screening ● Vulnerables a enganys de falsejament IP (spoofing, source routing, fragmentation) ● Sensibles a DoS/DDos: ● Limitats en capacitat ● Decisió sobre dades no correlades ● Fàcil fer una mala configuració. ● Tendència a donar sensació d'invulnerabilitat.
  • 31. Stateful Inspection Firewalls ● Evolució dels packet screening. ● Mantenen informació sobre connexions establertes i en curs. ● Relacionen diverses connexions (ex: FTP). ● Poden revisar part del payload del paquet (FTP, H.323, etc.). ● Permet crear regles realistes: ● Permetre FTP cap a hosts externs.
  • 32. Application Gateway ● (Application proxy) ● L'accés a aplicacions de xarxa no és directe: ● Accedeixes al gateway no a l'aplicació ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement. ● Molesten als usuaris.
  • 33. Circuit Gateway ● (Circuit proxy) ● L'accés a aplicacions de xarxa no és directe però tampoc accedeixes al gateway. ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement (no tant com appl.) ● Molesten als usuaris (no tant com appl.) ● Bon suport en alguns casos (p.e. HTTP)
  • 34. Bastió ● Sistema particularment segur: ● Tot el que s'ha explicat a seguretat de sistemes. ● Executa gateways. ● Pot requerir autenticació als gateways. ● Filtres als gateways: ● Destinacions, prestacions, etc. ● Juntament amb packet screening: ● Molt bona seguretat.
  • 35. Configuració IPTABLES ● Firewall de LINUX (Kernel level) ● Evolució de IPCHAINS ● Permet definir cadenes i taules de processament i inspecció de paquets. ● Permet definir regles d'inspecció de paquets.
  • 36. Configuració IPTABLES ● Una cadena és una llista de regles “programa”. ● Cada regla pot aplicar una acció als paquets (si hi ha matching). ● Una acció pot ser: ● DROP ● DENY ● ACCEPT ● xNAT ● Saltar a un altra cadena
  • 37. Seqüencia processament IP PAS TAULA CADENA Processament 1 2 mangle PREROUTING 3 nat PREROUTING Desfer DNAT. 4 ROUTING 5 mangle INPUT 6 INPUT Filtratge de paquets entrants. Nivell Físic: Ethernet, etc. Modificacions de paquets (TOS, TTL, MARK) “mangoneo” Modificacions de paquets entrants. filter ● Destinació host local
  • 38. Seqüencia processament IP PAS TAULA CADENA Processament 1 ROUTING 2 mangle OUTPUT 3 nat OUTPUT 4 OUTPUT Filtratge de paquets sortints 5 mangle POSTROUTING 6 nat POSTROUTING SNAT paquets enviats Modificacions de paquets sortints (no filtrat) NAT als paquets originats firewall filter Modificacions de paquets sortints (nostres i forward) ● Origen host local
  • 39. Seqüencia processament IP 1 mangle PREROUTING Canvis TOS, etc. 2 nat PREROUTING DNAT (Destinació) 3 ROUTING 4 mangle FORWARD Modificacions de paquets 5 FORWARD 6 mangle POSTROUTING Modificacions de paquets 7 nat POSTROUTING filter Filtrat de TOTS els paquets reenviats SNAT (Source) ● A través de host local
  • 41. Seqüencia processament IP ● Taula mangle: ● Modificació de paquets: – TTL – TOS – MARK ● MARK assigna “marques” reconegudes per IPR2 i CBQ – Routing basat en marques – Qualitat de servei
  • 42. Seqüencia processament IP ● Taula nat: ● Modificació adreces de paquets. ● DNAT: Destination NAT ● SNAT: Source NAT ● MASQUERADE: n -> 1 NAT
  • 43. Seqüencia processament IP ● Taula filter: ● Taula bàsica de filtrat ● Regles de DROP, ACCEPT, REJECT, REDIRECT, etc. ● Aquí s'aplica tot el filtrat.
  • 44. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -A --append: Afegir a una cadena. ● -D --delete ● -R --replace ● -I --insert ● -L --list ● -F --flush ● -N --new-chain ● -P --policy
  • 45. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -s --src --source : Origen IP o màscara ● -d --dst --destination: Destinació IP o màscara ● -p --protocol: Protocol (tcp, udp, icmp, all) ● -i --in-interface: I/F xarxa entrada ● -o --out-interface: I/F xarxa sortida Soporten (!) per negació
  • 46. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● --sport --source-port : Port origen ● --dport --destination-port: Port destinació Soporten rangs de ports: 22:80
  • 47. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -j CADENA: ● Salta a <CADENA> ● Cadena pot ser acció o nova cadena: – ACCEPT, DROP, MASQUERADE
  • 48. Una Regla ● Podem a més comparar: ● Flags TCP: – --tcp-flags – --syn ● Opcions TCP: – --tcp-option ● Tipus ICMP: – --icmp-type
  • 49. Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m limit – --limit <lim>: Limitem el nombre de matchings màxim (p.e. 3 per dia, etc.) – --limit-burts <n> : Nombre màxim de paquets (en –limit) ● -m mac – MAC orígen i destinació (--mac-source –mac-destination) ● -m mark – Marques (que podem posar amb iptables).
  • 50. Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m owner – UID “propietàri” del paquet ● -m state – Estat de la connexió: ● RELATED, ESTABLISHED, NEW, INVALID ● -m tos – TCP TOS ● -m ttl – TCP TTL
  • 51. Exemple ## FLUSH iptables -F iptables -X iptables -Z iptables -t nat -F ## DEFAULT POLICY iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## FILTRES ## eth0: ETHERNET CAP AL ROUTER ## eth1: ETHERNET A XARXA # LOCALHOST (simple) iptables -A INPUT -i lo -j ACCEPT # SSH del firewall desde xarxa local iptables -A INPUT -s 192.168.1.0/24 -i eth1 --dport 22 -j ACCEPT (cont)
  • 52. Exemple (cont) # # Fem NAT, Obrim a l'exterior el port 80 d'un servidor intern # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.12:80 # # Permetem accedir al MYSQL del servidor de l'empresa a només el servidor web # que tenim hostatjat al ISP # iptables -t nat -A PREROUTING -s 2.3.4.5 -i eth0 -p tcp --dport 3306 -j DNAT --to 192.168.1.12:3306 # # Només deixem accedir al correu (25) al server del ISP iptables -A FORWARD -s 192.168.1.0/24 -d 2.3.4.5 -i eth1 -p tcp --dport 25 -j ACCEPT (cont)
  • 53. Exemple (cont) # Consulta de DNS iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT # Permetem navegació WEB # (i HTTPS) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # Xat XMPP (jabber/google talk) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT # TOTA LA RESTA DENEGADA iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP ## Ara ve el MASQ (NAT n->1) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE # Linux, per defecte, no fa Forwarding de paquets. # S'ha d'activar echo 1 > /proc/sys/net/ipv4/ip_forward