2. Índice
Tema 1: Introducción a la seguridad informática en redes de ordenadores
Tema 2: Anatomía de un ataque a un sistema informático
Tema 3: Vulnerabilidades de un sistema informático
Tema 4: Políticas de seguridad
Tema 5: Criptografía
Tema 6: Protocolos de seguridad
Tema 7: Seguridad perimetral
Tema 8: Legislación sobre seguridad
Tema 9: Sistemas biométricos
Tema 10: Firewalls
Tema 11: Sistemas de detección de intrusiones
Tema 12: Sistemas de gestión de la indentidad
Tema 13: Seguridad en entornos inalámbricos
Tema 14: Informática forense
3. Bibliografía
Seguridad en las comunicaciones y en la información. Gabriel Díaz,
Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan
Peire. Universidad Nacional de Educación a Distancia. 2004
Fundamentos de Seguridad de Redes. Aplicaciones y Estándares.
William Stallings. Prentice Hall. 2004
Seguridad en Redes y Sistemas Informáticos. José M. Huidobro
Moya, David Roldán Martínez. Paraninfo. 2005
Seguridad y Protección de la Información. José Luis Morant, Arturo
Ribagorda, Justo Sancho. Editorial Centro de Estudios Ramón
Areces, S.A. 1994
Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003
Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998
Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador
Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005
Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003
4. Bibliografía
Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall.
2001
Active Defense. Chris Breton, Cameron Hunt. SYBEX. 1999
Inside Network Perimeter Security. Stephen Northcutt, Lenny
Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey.
SANS GIAC. 2003
Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz.
McGrawHill. 2003
Computer Forensics. Computer Crime Scene Investigation. John R.
Vacca. Thomson. 2005
Internet Forensics. Robert Jones. O’Reilly. 2005
Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W.
Rose. Addison-Wesley. 2006
File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005
Forensics Discovery. Dan Farmer, Wietse Venema. AddisonWesley. 2004
5. Tema 1: Introducción a la
seguridad informática en
redes de ordenadores
Manuel Fernández Iglesias
Xabiel García Pañeda
6. Introducción
Detenidas 23 personas que estafaron más de dos
millones de euros usando virus informáticos
Un grupo internacional de delincuentes que habría estafado
hasta dos millones de euros a través de Internet ha sido
desarticulado por la Policía Nacional. El grupo, formado por
personas de varias nacionalidades, lograba claves y
contraseñas de sus víctimas con la ayuda de un
'troyano', y luego las utilizaban para obtener dinero.
http://www.elpais.com/articulo/internet/Detenidas/23/personas/estafaron/millones/euros/usando/virus/informaticos/elpeputec/20060914elpepunet_2/Tes
7. Introducción
Un virus poco virulento se cuela en los SMS de dos
operadoras
Eliles-A, un gusano masivo posiblemente creado por españoles, ha
estado enviando mensajes SMS a clientes de Movistar y Vodafone
con móviles que funcionen con el sistema operativo Symbian en las
últimas semanas, según la empresa McAfee. Los mensajes instaban
a los clientes de estas operadoras a descargar un antivirus gratuito,
que en realidad era un virus. Es lo que se llama SMiShing o el
phishing trasladado a los mensajes SMS, cada vez más de
actualidad: el defraudador envía mensajes SMS con una excusa
sugerente, para convencer al usuario de que descargue un archivo o
visite una página web, donde se le darán cosas gratuitas y otras
tretas parecidas.
8. Introducción
Cuando este descarga el archivo, resulta ser un virus.
O, si visita la web, le instalan subrepticiamente
un código malicioso. Eliles-A se propagaba por
correo electrónico, simulando proceder de alguien que
pedía trabajo y adjuntaba su currículum. Quien lo
abría, se infectaba con el gusano, que usaba el
ordenador para enviar mensajes SMS a números
aleatorios de Movistar y Vodafone, usando las
pasarelas Internet-SMS de ambas operadoras.
http://www.elpais.com/articulo/red/virus/poco/virulento/cuela/SMS/operadoras/elpeputec/20060914elpcibenr_2/Tes
10. ¿Qué es seguridad?
La seguridad absoluta es indemostrable. Se habla de
fiabilidad.
Mantener un sistema seguro consiste en garantizar
(CIA: Confidentiality, Integrity, Availability):
Confidencialidad: Sólo pueden acceder a los recursos de un
sistema los agentes autorizados.
Integridad: Los recursos del sistema sólo pueden ser
modificados por los agentes autorizados.
Disponibilidad: Los recursos del sistema tienen que estar a
disposición de los agentes autorizados (contrario: denegación
de servicio).
11. ¿Qué queremos proteger?
Los recursos del sistema
Hardware
Software
Datos
Tipos de ataque a los recursos:
Interrupción: el recurso queda inutilizable o no disponible
Interceptación: captura de un recurso o acceso al mismo
Modificación o destrucción: Interceptación y manipulación del
recurso
Fabricación: generación de recursos similares a los atacados
12. ¿De qué nos queremos proteger?
De todos aquellos agentes que puedan atacar a
nuestros recursos
Personas: empleados, ex-empleados, curiosos,
piratas, terroristas, intrusos remunerados
Amenazas lógicas: software defectuoso,
herramientas de seguridad, puertas traseras, bombas
lógicas, canales ocultos, virus, gusanos, caballos de
Troya, programas conejo, técnicas salami.
Catástrofes
13. Algunos ejemplos
Un ex-empleado se cuela en nuestra empresa después
de ser despedido. Borra todos los expedientes
relacionados con los proyectos en los que trabajó
Un empleado instala el e-mule en su ordenador. Entre
los archivos descargados está un fichero infectado.
Cuando intenta visualizarlo infecta su ordenador. La
infección se extiende a todos los ordenadores de su
departamento
Un empleado entra a la zona privada de la Web
corporativa desde un ciber-café durante su vacaciones.
Pulsa sin darse cuenta en el botón de recordar clave sin
darse cuenta. Su clave queda almacenada. Desde dicho
ordenador extraen los datos personales de todos los
empleados de la empresa
14. ¿Cómo nos podemos proteger?
Análisis de amenazas
Evaluación de (posibles) pérdidas y su probabilidad
Definición de una política de seguridad
Implementación de la política: mecanismos de
seguridad
1.
2.
3.
4.
-
De prevención: durante el funcionamiento normal del sistema
De detección: mientras se produce un intento de ataque
De recuperación: tras un ataque, para retornar a un
funcionamiento correcto: Análisis forense
15. Vulnerabilidad
La vulnerabilidad de una organización depende de:
El grado de publicidad de la organización
El coste de los ataques
La exposición de la organización a los ataques externos
La exposición de la organización ante ataques internos, o ante la
facilitación de servicios (involuntaria o consciente) desde el interior
En definitiva, depende de la:
Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o
destruir información?
Confianza: ¿En qué medida se puede contar con los usuarios?
16. Amenazas
Una amenaza es cualquier circunstancia o evento que potencialmente
puede causar un daño a una organización mediante la exposición,
modificación o destrucción de información, o mediante la
denegación de servicios críticos.
¿Los malos van a tratar de actuar sobre mi sistema?
¿Puede ocurrir que elementos no deseados accedan (leyendo o
modificando) información importante para mi organización?
¿Puede ocurrir que la reputación de mi organización se vea
comprometida?
17. Amenazas: Más peligrosas y más
fáciles de usar
Packet Forging/
Spoofing
Alto
Back
Doors
Exploiting Known
Vulnerabilities
Self Replicating
Code
Stealth
Diagnostics
DDOS
Sweepers
Sniffers
Sofisticación de
las herramientas
de Hacking
Hijacking
Sessions
Disabling
Audits
Conocimiento
técnico
requerido
Password
Cracking
Password
Guessing
Bajo
1980
1990
2000
Juan Laje – Cisco
Systems
18. Tipos de amenazas
Fallo de componentes (hardware o software). Ej. caída del
cortafuegos, fallos de un protocolo
Exposición de la información: correo mal enrutado, salida de una
impresora, grupos o listas de acceso mal configuradas...
Utilización de la información para usos no previstos. Puede venir del
exterior o del interior
Borrado o modificación de la información. Puede conllevar pérdidas
de integridad o confidencialidad
Penetración: Ataques por personas o sistemas no autorizados:
caballos de Troya, virus, puertas traseras, gusanos, denegación de
servicios...
Suplantación: Intentos de confundirse con un usuario legítimo para
sustraer servicios, información, o para iniciar transacciones que
comprometan a la organización
19. Algunos ejemplos de amenazas lógicas
Virus. secuencia de código maligna que se inserta en un fichero
ejecutable (huesped)
Gusano. Programa capaz de ejecutarse y propagarse por si mismo
a través de la red. Puede contener un virus
Caballo de Troya. Instrucciones desconocidas en un programa para
realizar tareas ocultas
Programa conejo o bacteria. No hace nada útil. Se dedican a
reproducirse hasta que acaban con los recursos del sistema
Técnica salami. Se aplica a sistemas que manejan dinero. Extrae
pequeñas cantidades en las transacciones que transfiere a una
cuenta
Puertas traseras. Atajos que se construyen los programadores para
evitar los sistemas de seguridad en la fase de “testing”
Canales ocultos. Canales que evitan los sistemas de seguridad y
monitorización
20. Estadísticas de la amenaza
Fuente: Estudio del CSI/FBI de 2001
94% detectaron virus
91% detectaron uso abusivo de la red
40% detectaron penetración en sistemas
36% detectaron ataques de DOS
www.gocsi.com
21. Estadísticas de la amenaza
El crimen computarizado no desciende
35% (186 encuestados) estaban dispuestos a (o
podían) cuantificar pérdidas
Sobre 400 millones de euros en pérdidas financieras
En contraste, en el 2000, 249 encuestados
comunicaron unos 300 millones en pérdidas
1997-2001 pérdidas totales = más de
1.000.000.000 de euros
www.gocsi.com
22. Estadísticas de la amenaza
Honeynet Project (project.honeynet.org)
Grupo de investigación dedicado a aprender las
herramientas, tácticas y motivaciones de la comunidad
de hackers y a compartir las lecciones aprendidas
Enfoque en dos áreas:
Medir la agresividad de la comunidad de hackers
Evaluar el concepto de Alerta y Predicción Temprana
Sección española (www.honeynet.org.es/es/)
23. Estadísticas de la amenaza
Montan honeypots y
honeynets
Fáciles de atacar
Parecen reales
Bloquean
comunicaciones
exteriores
Monitorizan el
sistema
Estudian el
comportamiento de
los atacantes
24. Estadísticas de la amenaza
Honeynet Project
Analizando el pasado ...
Los resultados asustan (1 servidor comprometido a los 15
minutos de estar en la Internet)
La comunidad de hackers es MUY agresiva
No se hicieron intentos de anunciar los “éxitos”
Prediciendo el futuro
Análisis estadístico de meses de actividad
28. Ejemplos de signos de ataque
El sistema se para
Discrepancias en la información sobre las cuentas (p. ej.
/usr/admin/lastlog disminuye a veces)
Intentos de escritura en los ficheros del sistema
Algunos ficheros desaparecen
Denegación de servicio (el sistema pasa a monousuario,
y ni siquiera el administrador puede entrar)
Las prestaciones del sistema son inexplicablemente
bajas
Sondas sospechosas (logins incorrectos repetidos
desde otro nodo).
29. Ejemplos de signos de ataque
Logins desde lugares o a horas no habituales
Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.)
Cambios en los ficheros de claves, listas de grupos, etc.
Cambios en ficheros de configuración del sistema, en bibliotecas,
en ejecutables, etc.
Cambios en los datos: páginas WWW, servidores FTP, applets,
plugIns, etc.
Herramientas dejadas atrás por el atacante: Caballos de Troya,
Sniffers, etc.
Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail)
no justificables
Interfaces de red en modo promiscuo
30. Ejemplos de agujeros en la seguridad
Claves fáciles de adivinar, o claves por defecto
Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de
grupo
Servicios no seguros mal configurados (tftp, sendmail, ftp)
Servicios no seguros e inútiles (finger, rusers, rsh)
Ficheros de configuración de la red o del acceso no seguros
(entradas + en configuración NIS)
Consolas inseguras
Protección de acceso y propiedad de ficheros sensibles mal
configurada.
Versiones no actualizadas del sistema operativo.
Conexiones telefónicas inseguras
Política de copias de seguridad inexistente o mal diseñada.
31. Contramedidas
Identificación y Autenticación (I&A). Procedimiento por el
que se reconocen y verifican identidades válidas de
usuarios y procesos. Tres tipos:
Estática (username/password)
Robusta (claves de un solo uso, firmas electrónicas)
Continua (firmas electrónicas aplicadas a todo el contenido de la
sesión)
Control de la adquisición y actualización del software.
Previene contra los virus, caballos de Troya, el software
interactivo (Java, ActiveX), y el robo de licencias
Cifrado. Proporciona confidencialidad, autenticidad e
integridad
Actuaciones en el nivel de arquitectura. Redes privadas
virtuales, Sistemas de acceso remoto, acceso a bases
de datos, etc.
32. Contramedidas
Gestión de incidentes. Detección de ataques,
históricos, control de integridad, etc.
Acciones administrativas. Identificación de
responsables de seguridad, política de
sanciones, políticas de privacidad, definición de
buenas prácticas de uso, etc.
Formación. Información a los usuarios de las
amenazas y cómo prevenirlas, políticas de la
empresa frente a fallos de seguridad, etc.
33. Tema 2: Anatomía de un
ataque a un sistema
informático
Manuel Fernández Iglesias
Xabiel García Pañeda
34. Clasificación
Según el origen:
Externo. Realizados desde el exterior del sistema
Interno. Realizados desde el interior del sistema
Según la complejidad:
No estructurado. No coordinan diferentes
herramientas o fases. Suelen ser inocentes
Estructurado. Se enfocan como un proyecto. Tienen
diferentes fases y utilizan diferentes herramientas de
forma coordinada. Son los más peligrosos
35. Anatomía de un ataque
Búsqueda
Acceso
Borrando
las huellas
Rastreo
Obtención de
privilegios
Puertas
traseras
Enumeración
Pilfering
Denegación
de servicio
36. Anatomía de un ataque.
Búsqueda
Objetivo
Recogida de información, ingeniería social,
selección de rangos de direcciones y
espacios de nombres
Técnicas
Búsquedas en información pública
(Altavista con directivas link: o host:)
Interfaz web a whois
ARIN whois
DNS zone transfer (nslookup)
Reconocimiento de redes (traceroute)
37. Anatomía de un ataque.
Búsqueda
Contramedidas
Control del contenido de la
información pública
Precaución con la información de
registro
Seguridad en DNS (p. ej. no permitir
las transferencias de zona)
Instalación de sistemas de
detección de intrusiones (NIDS)
38. Anatomía de un ataque.
Rastreo (scanning, barrido)
Objetivo
Identificación de equipos y servicios.
Selección de los puntos de entrada más
prometedores
Técnicas
Ping sweep (fping, nmap)
Consultas ICMP (icmpquery)
TCP/UDP port scan (Strobe, udp-scan,
netcat, nmap, SuperScan, WinScan, etc.)
Detección del sistema operativo (nmap,
queso)
Herramientas de descubrimiento automático
(Chaos)
39. Anatomía de un ataque.
Rastreo
Contramedidas
Herramientas de detección de ping
(Scanlogd, Courtney, Ippl, Protolog)
Configuración adecuada de los
routers de frontera (access lists)
Cortafuegos personales,
herramientas de detección de
rastreo (BlackICE, ZoneAlarm)
Desconectar servicios inútiles o
peligrosos
40. Anatomía de un ataque.
Enumeración
Objetivo
Descubrir cuentas de usuario válidas y recursos
compartidos mal protegidos
Técnicas
Listados de cuentas (finger)
Listados de ficheros compartidos (showmount,
enumeración NetBIOS)
Identificación de aplicaciones (banners, rpcinfo,
rpcdump, etc.)
NT Resource Kit
Contramedidas
Las del rastreo
Control del Software
Formación de los usuarios
41. Anatomía de un ataque.
Acceso
Objetivo
Ya disponemos de información suficiente
para intentar un acceso documentado al
sistema
Técnicas
Robo de passwords (eavesdroping) y
crackeado de passwords (Crack, John the
Ripper)
Forzado de recursos compartidos
Obtención del fichero de passwords
Troyanos y puertas traseras (BackOrifice,
NetBus, SubSeven)
Ingeniería social
42. Anatomía de un ataque.
Acceso
Contramedidas
Control de las actualizaciones del
software
Control en la instalación o ejecución
de aplicaciones
Cortafuegos personales, detección
de intrusiones
Educación de los usuarios
(selección de buenas passwords)
Auditoría e históricos
43. Anatomía de un ataque.
Obtención de privilegios
Objetivo
Obtener permisos de administrador a partir
de los permisos de usuario
Técnicas
Vulnerabilidades conocidas
Desbordamiento de buffers, errores en el
formato de cadenas, ataques de validación
de entradas
Capturadores de teclado
Las del acceso
Contramedidas
Las del acceso
44. Anatomía de un ataque.
Pilfering
Objetivo
Nueva búsqueda de información para
atacar a otros sistemas de confianza
Técnicas
Evaluación del nivel de confianza (rhosts,
secretos LSA)
Búsqueda de passwords en claro (bases de
datos, servicios Web)
Contramedidas
Las del acceso
Herramientas de monitorización de red
Actuaciones en el nivel de arquitectura
45. Anatomía de un ataque.
Borrando las huellas
Objetivo
Una vez que se tiene el control total del
sistema, ocultar el hecho al administrador
legitimo del sistema
Técnicas
Limpieza de logs
Ocultación de herramientas
Troyanos y puertas traseras
Contramedidas
Gestión de históricos y monitorización, a
nivel de red y a nivel de host.
Control del SW instalado
46. Anatomía de un ataque.
Creación de puertas traseras
Objetivo
Permiten a un intruso volver a entrar en un
sistema sin ser detectado, de la manera más
rápida y con el menor impacto posible
Técnicas
Cuentas de usuario ficticias, robadas o inactivas
Trabajos batch
Ficheros de arranque infectados, librerías o
núcleos modificados
Servicios de control remoto y caballos de Troya
(Back Orifice)
Servicios de red inseguros (sendmail, rhosts,
login, telnetd, cronjob)
Ocultación del tráfico de red y ocultación de
procesos
47. Anatomía de un ataque.
Creación de puertas traseras
Contramedidas
Básicamente, las del acceso
(control riguroso del SW ejecutado,
monitorización de los accesos,
sobre todo a determinados puertos,
cortafuegos personales, etc.)
Búsqueda de ficheros sospechosos
(nombres por defecto de las puertas
traseras).
48. Anatomía de un ataque.
Denegación de servicio
Objetivo
Si no se consigue el acceso, el atacante
puede intentar deshabilitar el objetivo
Técnicas
Inundación de SYNs
Técnicas ICMP
Opciones TCP fuera de banda (OOB)
SYN Requests con fuente/destino idénticos
Contramedidas
Configuración cuidadosa de los cortafuegos
y routers.
49. Ejemplo de ataque: DDOS
Ataque por denegación de servicio
distribuido (DDOS)
Máquina
objetivo
Máquina
origen
Zombi
50. Ejemplo de ataque: DDOS
Muy eficaz. Deja rápidamente a la máquina
fuera de combate
Difícil de parar. Si los zombis están bien
elegidos estarán en diferentes subredes. Será
complicado cortar el flujo de tráfico
No tiene demasiada complejidad. Es suficiente
enviar algún tipo de paquetes que colapsen el
servidor. No se necesita tener acceso al objetivo
51. Ejemplo de ataque: Inserción de código
SQL
Formulario Web donde se solicita nombre de
usuario y clave
En el servidor se utilizan los datos para rellenar
la consulta SQL:
SELECT user_id FROM users WHERE strlogin=‘xuan’ AND strpassword=‘aab’
usuario
Se introduce en el formulario:
Clave: “ OR 1=1 -Usuario: cualquier cosa
Clave: “ OR 1=1; DROP table users; --
clave
52. Ejemplo de ataque: Inserción de código
SQL
Se accede a la información del sistema
En un principio a los nombres de usuario y sus claves
(codificadas, supuestamente)
Se puede eliminar información del sistema
Sería necesario conocer el nombre de las tablas
SELECT * FROM PG_CLASS
SELECT relname FROM PG_CLASS
Ataca al elemento más valioso de un sistema:
LA INFORMACIÓN
53. Ejemplo de ataque: Fishing bancario
Basado en la idea del CazaBobos
Se rastean páginas Web localizando direcciones de
correo
Se hace un mailing a dichas direcciones
Se disfraza la página Web haciendo parecer la de un banco
Se solicita entrar una dirección para solucionar un posible
problema de seguridad (algo que llame la atención al usuario
para que acceda)
Aunque el texto del enlace parece real, la dirección con la que
conecta es la del presunto atacante
54. Ejemplo de ataque: Fishing bancario
Dirección real: http://rumager.com/...
Dirección diferente
Protocolo no seguro
55. Ejemplo de ataque: Fishing bancario
Entramos en la página
Nos pide el nombre de usuario y la contraseña
del supuesto banco
La introducimos
No informa que el problema ha sido solucionado
!TIENEN NUESTRO NOMBRE DE USUARIO Y
NUESTRA CONTRASEÑA!
56. Ejemplo de ataque: IP Spoofing
Se suplanta la personalidad de un equipo
Es un ataque muy sofisticado
Denegación de servicio
Suplantado
IP: 156.35.14.2
Suplantador
IP: 156.35.14.2
Se modifican las rutas
57. Ejemplo de ataque: IP Spoofing
Es necesario atacar a muchas máquinas
Consigue que el receptor de los mensajes
se crea que es el emisor legítimo
Puede ser extremadamente peligroso
58. Ejemplo de ataque: Mitnick/Shimomura
Compañeros en el National Security Agency
Mitnick estuvo extrayendo información del
ordenador de Shimomura durante meses
Existieron una serie de premisas:
Mitnick, mediante ingeniería social obtuvo direcciones
IP de ordenadores de colaboradores de Shimomura.
Direcciones en las que confiaba el ordenador de la
víctima
El atacante intentó abrir varias sesiones TCP con la
victima para determinar como se elegía el número de
secuencia cada vez. Se incrementaba en 128000
El atacante sabía que Shimomura utlizaba UNIX y
tenía activados los comandos remotos de Berkeley
59. Ejemplo de ataque: Mitnick/Shimomura
Pasos:
1.
2.
3.
El atacante entía un TCP SYMM flood a un equipo,
llamémosle A, en el que confía la víctima
El atacante envía un paquete, con suplantación de
dirección IP fuente a la víctima pretendiendo ser A.
Son el bit SYN habilitado. Paso inicial de conexión en
TCP
La víctima contesta con un paquete SYM, ACK. A no
recibe el paquete. El atacante que no recibe tampoco
este paquete debe conocer el número de secuencia
60. Ejemplo de ataque: Mitnick/Shimomura
Pasos:
4.
5.
6.
El atacante simula el mensaje 3 de creación de la
sesión TCP
Por la conexión TCP envía comando para que
añada una entrada comodín (‘++’) al fichero ./rhost.
El ordenador de Shimomura comienza a confiar en
cualquiera
El atacante envía un mensaje TCP con el bit de
RST (reset) activado para cortar la conexión
61. Tema 3: Vulnerabilidades de
un sistema informático
Manuel Fernández Iglesias
Xabiel García Pañeda
62. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
Servidor 10
LAN
interna
13
Internet
Estación 12
Trabajo 5
8
Router
frontera
Cortafuegos
Router
Interno
1
14
Servidor
Acceso
Remoto
Usuario
Remoto
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
63. Las 14 vulnerabilidades más importantes
4
1:
Servidor
Servidor 7
Servidor 10
LAN
DMZ
DMZ
interna
Control de acceso al router inadecuado:
ACLs mal configuradas en el router pueden
13
permitir la fuga de información a través de Estación 12
paquetes ICMP, IP 8 NetBIOS, y facilitar el Trabajo 5
o
Router
Router
acceso no autorizado a servicios dentro de la
Cortafuegos
frontera
Interno
zona desmilitarizada.
14
LAN
Servidor
interna
Acceso
11
Remoto
6
11
2
Oficina
Estación
Usuario
Servidor
9
Remota
Trabajo
Remoto
3
Internet
64. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
LAN
interna
13
Internet
8
Router
frontera
1
Usuario
Remoto
Cortafuegos
2:
Router
Interno
Servidor 10
Estación 12
Trabajo 5
14
LAN
Los
Servidor puntos de acceso remoto no seguros y no
interna
Acceso
monitorizados proporcionan una de las
11
Remoto
6
maneras más sencillas de acceder a una red
11
corporativa. Los usuarios remotos se suelen
Oficina
Estación
Servidor
conectar a Internet con pocas protecciones,
9
Remota
Trabajo
exponiendo al ataque información sensible
65. Las 14 vulnerabilidades más importantes
3:
4
Internet
Servidor
Servidor 7
La información disponible puede proporcionar
LAN
DMZ
DMZ
información sobre el sistema operativo,
interna
versiones de las aplicaciones, usuarios,
13
grupos, recursos compartidos, información
DNS (transferencias de zonas), y servicios
8
Router
Router
abiertos como SNMP, finger, SMTP, telnet,
Cortafuegos
frontera
Interno
rpcinfo, NetBIOS, etc.
1
Estación 12
Trabajo 5
14
Servidor
Acceso
Remoto
Usuario
Remoto
Servidor 10
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
66. Las 14 vulnerabilidades más importantes
4:
3
13
Servidor
Servidor 7
Los servidores que corren servicios inneceLAN
DMZ
DMZ
sarios (RPC, FTP, DNS, SMTP) pueden ser
interna
fácilmente atacados.
Internet
8
Router
frontera
Cortafuegos
Router
Interno
1
Estación 12
Trabajo 5
14
Servidor
Acceso
Remoto
Usuario
Remoto
Servidor 10
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
67. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
5:
DMZ
7
Servidor 10
LAN
interna
La utilización de palabras clave débiles, fáciles
de adivinar o la reutilización de Estación clave
palabras 12
en las 8
estaciones de trabajo puede compromeTrabajo
Router
ter los
Cortafuegos servidores.
Interno
13
Internet
Router
frontera
1
14
Servidor
Acceso
Remoto
Usuario
Remoto
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
68. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
Servidor 10
LAN
interna
13
Internet
Estación 12
Trabajo 5
8
Router
frontera
Cortafuegos
6:
1
Servidor
Acceso
Remoto
Usuario
Remoto
2
Router
Interno
14
LAN
Otra vulnerabilidad muy común son las
interna
11
cuentas de invitado, de prueba, o de usuario
11
con privilegios excesivos.
Oficina
Estación
Servidor
9
Remota
Trabajo
69. Las 14 vulnerabilidades más importantes
4
3
7:
Servidor
DMZ
Servidor
Servidor
Servidores de Internet en la zona desmilitari- 10
LAN
DMZ
zada mal configurados, sobre todo el
interna
código CGI o ASP, o servidores FTP anónimo
con directorios accesibles en escritura
Estación 12
8
para todo el mundo. SQL injection Trabajo 5
Router
Cortafuegos
Interno
13
Internet
Router
frontera
1
14
Servidor
Acceso
Remoto
Usuario
Remoto
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
70. Las 14 vulnerabilidades más importantes
4
3
13
Servidor
DMZ
Servidor
DMZ
7
LAN
interna
Servidor 10
Internet
Estación 12
Trabajo 5
Router
Router
Cortafuegos de acceso (ACL) mal configuradas
Unas listas
frontera
Interno
en el cortafuegos o en el router pueden per1
14
mitir el acceso desde el exterior, bien directaLAN
mente, o bien una vez que la zona desmilitaServidor
interna
rizada ha sido comprometida.
Acceso
11
Remoto
6
11
2
Oficina
Estación
Usuario
Servidor
9
Remota
Trabajo
Remoto
8:
71. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
LAN
interna
13
Internet
8
Router
frontera
Cortafuegos
9:
1
Servidor
Acceso
Remoto
Usuario
Remoto
2
Router
Interno
Servidor 10
Estación 12
Trabajo 5
14
Software obsoleto, LAN no se le han instaal que
interna
lado los parches recomendados por el fa11
6
bricante, vulnerable, o con las configuraciones
11
por defecto, especialmente los servidores
Oficina
Estación
Servidor
WWW.
Remota
Trabajo
72. Las 14 vulnerabilidades más importantes
4
3
10:
Servidor 7
Servidor
Controles de accesoLAN ficheros o a los
a los
DMZ
interna
directorios mal configurados (e.g. Recursos
compartidos en Windows NT, recursos
Estación 12
exportados con NFS en Unix.
8
Trabajo 5
Router
Cortafuegos
Interno
Servidor
DMZ
13
Internet
Router
frontera
1
14
Servidor
Acceso
Remoto
Usuario
Remoto
2
11
11
Oficina
Remota
LAN
interna
6
9
Servidor
Estación
Trabajo
73. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
LAN
interna
13
Internet
8
Router
frontera
1
Usuario
Remoto
Cortafuegos
11:
Router
Interno
Servidor 10
Estación 12
Trabajo 5
14
Las relaciones de confianza excesivas en
dominios NT o entradas en LAN
.rhosts y
Servidor
interna
Acceso
host.equiv en Unix pueden proporcionar a los
Remoto
6
atacantes acceso no11
autorizado a sistemas
2 Sensibles (pilfering).
Oficina
Estación
Servidor
9
Remota
Trabajo
74. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
12:
13
7
Servidor 10
LAN
interna
Internet
Los servicios sin control de acceso de
Estación
8
usuarios, como X Windows permiten a los
Trabajo 5
atacantes Router
la captura de las pulsaciones del
Cortafuegos
teclado. Interno
Router
frontera
1
14
LAN
interna
Servidor
Acceso
Remoto
Usuario
Remoto
2
11
6
11
Oficina
Remota
9
Servidor
Estación
Trabajo
75. Las 14 vulnerabilidades más importantes
4
3 Servidor
13: DMZ
Servidor
DMZ
7
Internet
Servidor 10
LAN
interna
La gestión inadecuada de históricos, la falta
de una monitorización adecuada o la falta
Estación 12
8
de servicios de detección de intrusiones tanto
Trabajo 5
Router
Router
en el nivel de red como en los ordenadores
Cortafuegos
frontera
Interno
conectados a ella.
1
14
LAN
Servidor
interna
Acceso
11
Remoto
6
11
2
Oficina
Estación
Usuario
Servidor
9
Remota
Trabajo
Remoto
76. Las 14 vulnerabilidades más importantes
4
3
Servidor
DMZ
Servidor
DMZ
7
LAN
interna
13
Internet
Estación 12
Trabajo 5
8
Router
frontera
14:
Cortafuegos
1
Servidor
Acceso
Remoto
Usuario
Remoto
2
Servidor 10
Router
Interno
La falta de políticas de seguridad aceptadas
LAN
por todos y bien definidas y publicadas, así
interna
como de los procedimientos, normas y guías
11
de actuación relacionadas.
6
11
Oficina
Remota
9
Servidor
Estación
Trabajo
77. Tema 4: Políticas de
seguridad
Manuel Fernández Iglesias
Xabiel García Pañeda
78. Política de Seguridad
Objetivo
Definir cómo se va a proteger una
organización ante los ataques. Tiene dos
partes:
Política general: define el enfoque general:
Análisis de vulnerabilidad
Identificación de las amenazas
Reglas específicas: definen las características y
acciones concretas, para cada servicio o sistema,
orientadas a cumplir los objetivos de la política
general
79. Política de seguridad
A nivel general:
Identificar que se ha de proteger
Determinar de que se está tratando de proteger
Determinar cuánto de probables son las amenazas
Implementar medidas que protejan los recursos con
un coste asumible
Revisar el proceso continuamente y hacer mejoras
cada vez que se localiza una debilidad
80. Política de Seguridad
Hitos de una buena política de
seguridad
Para cada aspecto de la política:
Autoridad ¿Quién es el responsable?
Ámbito ¿A quién afecta?
Caducidad ¿Cuándo termina?
Especificidad ¿Qué se requiere?
Claridad ¿Es entendible por todos?
81. Política de seguridad
Características de una buena política de seguridad (RFC 2196)
Se tiene que poder poner en práctica mediante procedimientos
concretos de administración de sistemas, mediante la publicación de
guías sobre el uso aceptable de los recursos informáticos, o mediante
otros métodos prácticos apropiados.
No debe ser una entelequia.
Debe ser implementable
Se debe obligar su cumplimiento mediante herramientas de
seguridad, donde sea posible, y mediante sanciones, donde la
prevención no sea posible técnicamente.
No debe tener agujeros, y si los tiene hay que poder detectarlos
Debe definir claramente las áreas de responsabilidad de los usuarios,
los administradores y la dirección.
Tiene que haber un responsable para toda situación posible
82. Política de Seguridad
Componentes de una buena política de seguridad (RFC 2196)
Guía de compra de hardware y software, donde se especifique las funciones
relacionadas con la seguridad requeridas o deseadas.
Una política de privacidad que asegure un nivel mínimo de privacidad en
cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc.
Una política de acceso que defina los niveles de seguridad, los derechos y
privilegios, características de las conexiones a las redes internas y externas,
mensajes de aviso y notificación, etc.
Una política de responsabilidad que defina las responsabilidades de los
usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de
auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.)
Una política de autenticación que establezca un esquema de claves o
palabras de paso (passwords), que especifique modelos para la autenticación
remota o el uso de dispositivos de autenticación.
83. Política de Seguridad
Componentes de una buena política de seguridad (RFC 2196), cont.
Una declaración de disponibilidad, que aclare las expectativas de los usuarios
en cuanto a la disponibilidad de los recursos. Debe definir temas como la
redundancia, la recuperación ante intrusiones, información de contacto para
comunicar fallos en los sistemas y/o en la red, etc.
Una política de mantenimiento que describa cómo se lleva a cabo el
mantenimiento interno y externo, si se permite mantenimiento remoto y/o
mantenimiento por contratas externas, etc.
Una política de comunicación de violaciones que defina qué tipos de
amenazas, y cómo y a quién se deben comunicar.
Información de apoyo que indique a los usuarios, personal técnico y
administración cómo actuar ante cualquier eventualidad, cómo discutir con
elementos externos los incidentes de seguridad, qué tipo de información se
considera confidencial o interna, referencias a otros procedimientos de
seguridad, referencias a legislación de la compañía y externa, etc.