Rc u2a

Page 1

Seguridad en Redes: Servicios Seguros M.C. Juan Carlos Olivares Rojas

Agenda Seguridad Informรกtica Servicios de Red Seguros Tips de Seguridad

Seguridad Informática • Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

Seguridad • El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática. • Principios de “defensa en profundidad”: cifrado de datos, gestión de usuarios, configuración robusta de equipos, segmentación de redes (VLANs), Seguridad Perimetral.

Seguridad Informática • Existen 4 planes de actuación: técnico, humano, legal y organizativo. • La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI). • La información es un recurso vital en el mundo globalizado de hoy en día.

Seguridad Informática • SSE/CMM (Systems Security Engineering/ Capability Maturity Model) define: • Nivel 0: Nada de seguridad • Nivel 1: Prácticas de seguridad realizadas de manera informal • Nivel 2: Planificación y seguimiento de las prácticas de seguridad

Seguridad Informática • Nivel 3: Definición y coordinación de las políticas y procedimientos de seguridad. • Nivel 4: Seguridad controlada a través de distintos controles y objetivos de calidad. • Nivel 5: Implantación de un proceso de mejora continua.

Seguridad Informática • Se tiene una informática:

jerarquía

de

• CIA • Políticas • Planes • Procedimientos • Tareas y Operaciones • Registros y Evidencias.

seguridad

Seguridad Informática • Ejemplo de seguridad CIA • Política: protección del servidor Web de la organización contra accesos no autorizados. • Procedimiento 1: Actualización del software del servidor Web. • Tarea1: Revisión diaria de los parches publicados por el fabricante.

Seguridad Informática • Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad. • Procedimiento 2: Revisión de los registros de actividad en el servidor. • Tarea1: revisión semanal de los “logs” del servidor para detectar anomalías.

Seguridad Informática • Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. • Inventario de soportes físicos. Destructor de Discos Duros

SGSI • Un SGSI se encuentra estandarizado en la norma ISO 27001:2005. • La ISO 17799:2005 define buenas prácticas de SI pero en si no es certificable como tal. Se utilizó hasta antes de definirse el ISO 27001:2005 • Está basado en la norma británica BS7799 utilizada en seguridad de SI.

SGSI • A continuación se muestran las principales versiones del estándar: • ISO 27000 Vocabulario y Glosario • ISO 27001 Estándar certificable • ISO 27002 Relevo del ISO/IEC 17799:2005

SGSI • ISO 27003 Guía de implantación • ISO 27004 Métricas e indicadores • ISO 27005 Gestión de Riesgos • ISO 27006 Requerimientos para entidades de auditoría y certificación.

las

SGSI • Se basa en la metodología de Dewey (Plan, Do, Check, Act). La cual quedaría definida así: • Plan: Establecer el SGSI • Do: Implantar y Operar el SGSI • Check: Monitorear y Revisar el SGSI

SGSI • Act: Mantener y mejorar el SGSI • Otras actividades: • • • •

Control de Documentos Capacitación Acción Correctiva Acción preventiva

SGSI • Se clasifican cada uno de los activos, se determinan amenazas, vulnerabilidades, riesgos basándose en una escala de 1 (muy bajo) a 5 (muy alto). • Se debe realizar un Plan de Continuidad del Negocio, el cual puede contener: • DRP Disaster Recovery Planning

SGSI • BRP Business Resumption Planning • COOP Continuity Operations Planning • CP Contingence Planning • ERP Emergency Response Planning

SGSI • Pirámide Documental: • Manual de Seguridad • Procedimientos • Instrucciones de Trabajo • Documentos

SGSI • Se deben tomar en cuenta muchos aspectos para establecer mecanismos de seguridad: • Aspectos legales, sociales y éticos • Controles físicos • Cuestiones de política

SGSI • Problemas operacionales • Controles de hardware • Soporte del Sistema Operativo • Existen dos enfoques discrecional y obligatorio.

de

seguridad:

SGSI • En el discrecional, los usuarios tienen derechos de acceso diferentes (privilegios) por lo tanto son muy flexibles • El control obligatorio, cada objeto está etiquetado con un nivel de clasificación y a cada usuario se le da un nivel de acreditación. Son sistemas jerárquicos y rígidos.

SGSI • La autenticación es el proceso que consiste en verificar que el usuario es quién dice ser. • La autorización es el proceso para que un usuario pueda realizar una acción. • Registro de auditoría es un archivo o base de datos en el que el sistema lleva la cuenta de las operaciones realizadas por los usuarios.

SGSI • Los controles de acceso obligatorio se rigen en base al principio de Bell-LaPadula: • El usuario i puede recuperar el objeto j sólo si el nivel de acreditación de i es mayor o igual al nivel de clasificación de j (“propiedad de seguridad simple”).

SGSI • El usuario i puede actualizar el objeto j sólo si el nivel de acreditación de i es igual al nivel de clasificación de j. • Los controles de acceso se dividen en 4: D, C, B y A. • Donde D es la protección mínima, C es discrecional, B es obligatoria y A es verificada.

SGSI • Dentro de C, se encuentran los niveles C1 (menos segura) y C2. • La seguridad física es muy importante a tal punto que se debe de considerar en todo SGSI. • Una de las normas de seguridad física más utilizada es: BS 7799-2:2002.

SGSI • No sobrecargar los circuitos eléctricos y cordones de extensión. Asegurarse que el voltaje combinado no exceda la capacidad de los circuitos. • Tener un extintor de fuegos tipos C. • No utilizar ningún tipo de electrodoméstico dentro del site.

SGSI • No tomar líquidos dentro del site. • No fumar. • Tener letreros de seguridad. • No situar equipos en sitios altos para evitar caídas. No colocar equipos cerca de ventanas.

Riesgos de Seguridad Informรกtica

Riesgos de Seguridad Informรกtica

Pasos Recomendados en una Estrategia

Evaluaci贸n de Activos

COBIT

Control Objective for Information & related Technology.

ITIL • IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes: • Soporte de Servicios • Distribución de Servicios

Amenazas de Seguridad • Intercepción • Interrupción • Modificación • Fabricación

Amenazas de Seguridad • Ingeniería Social • Ataques pasivos • Ataques activos • Análisis de Riesgos • Interrupción del Serivicio • FPGA

Amenazas de Seguridad • • • • • • • • •

Virus informáticos Gusanos Troyanos Spyware Adware Dialers Exploit Bots Pharming

Amenazas de Seguridad • Backdoor • Bomba fork • Hijacker • Keystroke o Keyloggers • Párasito Informático

Amenazas de Seguridad • • • • • • • • •

Phishings Pornware Rabbit Rootkit Spam Pop-Ups Bomba Lógica Cookies (Malas) Trampas y/o Inocentadas

Mecanismos de Seguridad • Cifrado • Autorización • Autenticación • Auditoría

Mecanismos de Seguridad • Derecho a la intimidad • Elaboración de perfiles • Dispositivos biométricos • Uso de VPN • Uso de certificados de autoridad

Mecanismos de Seguridad • Antivirus • Firewall • Anti-Spyware • Anti-Rootkits • Parches (Service Pack) • Configuraciones • Trucos, Trucos y más trucos

Mecanismos de Seguridad • Hacer copias de seguridad • Habilitar las zonas de seguridad • Utilizar antivirus y dos firewalls* • Control para padres • Utilización de sockets seguros (SSL)

Mecanismos de Seguridad • Emplear claves difíciles de acordar.* • Comprobar el estado del sistema operativo. • Comprobación del estado del hardware • Evitar descargas de archivos. • IDS Sistemas Detector de Intrusos • Utilización de Proxys

Firewall • Es un monitor de redes cuya finalidad es el filtrado de paquetes y funcionar de pasarela de alto nivel. • Seguridad en un Cisco Catalyst: • permit tcp any host 209.98.208.33 established • acces-list 100 permit tcp any 179.12.244.1 eq smtp.

Herramientas Monitoreo • Se encargan de ver el estado de algunos procesos • Los sniffers entran en esta categoría aunque no son del todo herramientas de monitoreo. • Algunos monitores: Cacti, Nagios, Nessus • Utilerías: Pathping, Tracert, nslookup

Superusuario • Se debe controlar esta cuenta por que este usuario puede: • Borrar, agregar o modificar cuentas de usuario • Leer y escribir todos los archivos y crear unos nuevos. • Agregar o borrar dispositivos

Superusuario • Instalar nuevo software • Leer el correo electrónico de otros • Husmear el tráfico de toda la LAN • Modificar las bitácoras del sistema

Certificados de Seguridad • Es un documento emitido y firmado por una Autoridad de Certificación CA. • Se pueden obtener certificados digitales de prueba, por ejemplo de VeriSign. • Si se planifica bien una red, se pueden reducir del 80-90% de los problemas de la red.

Resolución de Problemas • Desarrollar una estrategia para resolver problemas • Conocer la red • Enseñar a los usuarios a reconocer un problema • Conocer el proceso organización

de

trabajo

de

la

Resolución de Problemas • Mantener un registro con problemas y soluciones • Ajustar los servidores y estaciones de trabajo – Revisar la memoria virtual pagefile.sys

• Revisar si está conectado el cable • Nbtstat –n • DMZ, DDNS.

Resolución de Problemas • Se recomienda tener un solo servicio por máquina. La tendencia es a virtualizar servicios. • La seguridad es una cuestión de directivas y no de tecnología. • Utilización de direcciones.

NAT

para

enmascarar

Solucionar los problemas • Obtener toda la información que sea posible sobre el problema. • Anotar los mensajes de error cuando aparezcan o cuando un usuario los envié. • Comenzar con las soluciones más sencillas. • Determinar si alguien experimentando el problema.

más

está

Solución de Problemas • Comprobar si se ha registrado un evento recientemente • Comprobar los cortes de energía • La solución generalmente es la más sencilla (metodología KISS).

Sistema de Gesti贸n de Seguridad de la Informaci贸n

Ejercicio 1 • El Hospital “Santa Cecilia”, el cual cuenta con más de 100 años de operación en la ciudad de Monterrey, cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar. • Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.

Ejercicio 1 • El Hospital cuenta con más de 300 equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes. • Hace cinco años, el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores.

Ejercicio 1 • Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos). • A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor.

Ejercicio 1 • Dentro de los planes de expansión, el hospital está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación. Actualmente el Hospital cuenta con un Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital.

Ejercicio 1 • En los próximos meses se empezará a realizar un reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo. • Con base en esta información, tú como especialista en seguridad debes de realizar un estudio de la problemática y realizar recomendaciones.

Ejercicio 1 • De acuerdo a tu criterio, lista los activos por orden de importancia. • ¿Contra que situaciones protegerías dichos activos? • ¿Cómo protegerías dichos activos? • ¿Qué harías con el equipo viejo?

Ejercicio 2 • Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: • Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas

Ejercicio 2 • Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. • Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

Ejercicio 2 • Existe software no licenciado instalado en los equipos del hospital. • Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. • Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

Ejercicio 2 • Se han detectado accesos no autorizados a los sistemas. • ¿Qué eventos de los explicados en la sesión han afectado al hospital? • ¿Con base en tu experiencia que harías para corregir esta situación?

Ejercicio 3 • Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. • • • • •

Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad

Ejercicio 3 • • • • •

Sistema de emergencias telefónica 066 Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.

Ejercicio 4 • La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 4 • Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: • Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

Ejercicio 4 • La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. • El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

Ejercicio 4 • Acceso no autorizado a la información de los clientes. • Software malicioso que afecte principales sistemas de la empresa

a

los

• Denegación de servicios a su portal de Internet

Ejercicio 4 • A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. • De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso.

Ejercicio 5 • La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

Ejercicio 5 • Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

Ejercicio 5 • Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: • • • • •

Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos

Ejercicio 6 • La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 6 • El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. • Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

Ejercicio 6 • Procedimientos de respaldos de Información • Procedimientos de control de acceso lógico a la información • Procedimientos de control de cambios • Procedimientos malicioso

de

control

de

software

Ejercicio 7 • EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. • EL director en una entrevista mencionó lo siguiente (en resumen):

Ejercicio 7 • El área de seguridad depende del área de redes • Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. • Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

Ejercicio 7 • El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. • Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. • Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

Ejercicio 7 • El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. • Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

Ejercicio 7 • De manera adicional siguientes actividades:

se

deben

realizar

las

• Visión de seguridad de información (a 5 años) • Misión de seguridad de información • Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) • Establecer 5 objetivos de seguridad de información.

Ejercicio 8 • Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: • Escribe una política de seguridad corporativa (Máximo tres párrafos). • Identifica tres políticas específicas consideras deben de desarrollarse.

que

Ejercicio 8 • Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: • • • •

Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.

Ejercicio 9 • Para el caso del Hospital Santa Cecilia, se requiere realizar un análisis de riesgo. Dado que no se cuenta con datos que sustenten un análisis cualitativo, se requiere que realices un análisis cualitativo para los tres principales activos que identifiques. Para ello deberás realizar lo siguiente: • Identificar los tres principales activos que consideres.

Ejercicio 9 • Identificar al menos una vulnerabilidad para cada uno. • Identificar al menos una posible amenaza para cada vulnerabilidad. • Estimar la probabilidad de ocurrencia de esa amenaza (alta, media o baja). • Calcular los riesgos de cada amenaza (Riesgo = probabilidad x Impacto). • Definir el tratamiento que darás a cada riesgo (disminuirlo, transferirlo, aceptarlo).

Servicios de Red Seguros • La mayoría de los servicios de red que se desarrollaron hace algunos años son protocolos cuya información viaja sin cifrar en la red, por lo que son vulnerables a ser vistos y modificados. • Los protocolos actuales son seguros en el sentido de que la información viaja cifrada por la red.

SSH • SSH escucha por el puerto 22 y utiliza el algoritmo de cifrado RSA • Ejemplos: – OpenSSH www.openssh.com – SSH www.ssh.com

SSH • /etc/ssh/sshd_config (OpenSSH) • • • • •

Port 22 ListenAddress 192.168.1.254 PermitRootLogin no X11Forwarding yes AllowUsers fulano mengano

SSH • • • • • •

/etc/ssh2/sshd2_config /etc/ssh2/ssh2_config Ssh1Compatibily yes Sshd1Path /… Ssh-keygen /home/you/.ssh2

• Scp  rcp

Red • netstat –natu • /etc/rc.d/init.d/inet reload • /etc/conf.modules • Alias eth0 3c59x • ifconfig eth0 1.1.1.1 netmask 255.255.255.0 broadcast 1.1.1.255

Red • ./ifdown ifcfg-eth0 • ./ifup ifcfg-eth0 • ifconfig eth0:0 10.1.1.2 netmask 255.255.255.0 broadcast 10.1.1.255 • nslookup • ping

Red • /etc/login.defs • /etc/profile • .bash_profile • /etc/rc.d/init.d/network reload restart • /etc/sysconfig/network • arp -a

Red ftpstream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd shell login #exec talk ntalk

stream stream stream dgram udp dgram udp

tcp tcp tcp wait wait

nowait root nowait root nowait root nobody.tty nobody.tty

/usr/sbin/tcpdin.rshd /usr/sbin/tcpdin.rlogind /usr/sbin/tcpdin.rexecd /usr/sbin/tcpdin.talkd /usr/sbin/tcpdin.ntalkd

Red ftp-data ftp fsp ssh ssh telnet finger www www link kerberos

20/tcp 21/tcp 21/udp fspd 22/tcp # SSH Remote Login Protocol 22/udp # SSH Remote Login Protocol 23/tcp 79/tcp 80/tcp http# WorldWideWeb HTTP 80/udp# HyperText Transfer Protocol 87/tcp ttylink 88/tcp kerberos5 krb5

Firewall โ ข Debido al auge de las redes de computadoras en donde muchos clientes pueden conectarse de manera remota a un servidor, los problemas de seguridad y control han aumentado haciendo que nuestra mรกquina sea mรกs vulnerable y propensa a virus, infiltraciones y robo de informaciรณn. Para ello se necesita un mecanismo que permita evitar esas infiltraciones, el cual recibe el nombre de Firewall.

Firewall • Un Firewall es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red.

Firewall • Netfilter/iptables www.netfilter.org • Firewall Linux Project www.flinux.net

DMZ

IPChains • El filtrado de paquetes consiste en revisar la información de los paquetes y aceptar o rechazar dichos paquetes. • Para usar IPchains es necesario tener soporte en el kernel, así que deberías incluir las siguientes opciones: • CONFIG_FIREWALL=y • CONFIG_IP_FIREWALL=y

IPChains HTTP Paquete

Red

¿Cumple el paquete nuestros criterios?

Si

FTP

Envío de paquete a la aplicación

No

Si

¿Se debe hacer notificación?

Salir No

IPChains • Los comandos básicos de las IPchains son: • • • • • • • •

-N Crea una nueva cadena -X Borra una cadena -P impone la política por defecto para la cadena -L Lista las reglas de una cadena -F Borra una cadena -A Añade una regla a la cadena. -I Introduce una regla en una cadena. -D Borra una regla de una cadena.

IPChains • ipchains -A input -p udp -d 200.32.106.149 53 -j ACCEPT • ipchains -A input -p tcp -d 200.32.106.199 110 -j ACCEPT • ipchains -A input -s 200.34.108.241 200.32.106.200 22 -j ACCEPT • ipchains

-P

input

DENY

-d

Ipchains

eth0

Puerto 1027

Puerto 2063

ppp0

Ipchains • ipchains –A input –p tcp –s 192.168.1.8 –j DENY –y • ipchains –A input –p tcp –destination-port 8080 –j DENY –l • ipchains -P forward -j deny • ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ

Iptables • Sustituto de IPChains. En una sola instrucción puede hacer varias de IPchains. • iptables −A INPUT −p tcp −m tcp −−dport 80 −j ACCEPT • iptables −A INPUT −s 62.81.31.3 −p tcp −m tcp −−dport 110 −j REJECT

Iptables • iptables −A OUTPUT −p icmp −−icmp−type 0 −j DROP • iptables −A OUTPUT −p tcp −j LOG − −log−prefix "Conexion TCP en salida: "

Firewall • FWM − Linux based Firewall Managament script (http://jason.ihde.org/fwm.html) • GIPTables (http://www.giptables.org) • Levy (http://muse.linuxmafia.org/levy/) • IPCOP

Firewalls • PHPIPtables • Linux Routing Project (http://master−www.linuxrouter.org:8080/) – Micro−distribución Linux – Centrada en redes – Cabe en un floppy

Proxy • Squid www.squid-cache.org

Proxy • Squid es el software para servidor Proxy más popular y extendido entre los sistemas operativos basados sobre UNIX. Es muy confiable, robusto y versátil. Al ser software libre, además de estar disponible el código fuente, está libre del pago de costosas licencias por uso o con restricción a un uso con determinado número de usuarios.

Proxy • Squid es un servidor Web Proxy con caché, lo que permite agilizar el acceso a Internet de manera considerable. • Para usar el servidor Proxy se debe configurar manualmente el navegador Web, o bien con un script de actualización automática.

Proxy • Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método, también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de traducciones, entonces es descartado.

Proxy • /etc/squid/squid.conf • http_port 3128 • cache_dir ufs /usr/local/squid/cache 500 16 256 • reference_age 1 month • maximum_object_size 4096 KB • cache_peer 1.2.3.4 parent 8080 0 no-query • nonhierarchical_direct off • prefer_direct off

Proxy • Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid. •

acl [nombre de la lista] src [lo que compone a la lista]

Proxy • acl mynetwork 192.168.27.0/255.255.255.0

src

• http_access [deny o allow] [lista de control de acceso] • http_access allow mynetwork • http_access deny !safe_ports http_access deny CONNECT !SSL_ports

Proxy • Al menos una Lista de Control de Acceso • Al menos una Regla de Control de Acceso • Acelerar Web – httpd_accel_host – httpd_accel_port – httpd_accel_with_proxy

Proxy • Proxy transparente, los navegadores no necesitan cambiar su configuración.

• iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 • echo 1 > /proc/sys/net/ipv4/ip_forward

Proxy • acl msn_messenger req_mime_type ^application/x-msn-messenger$ • http_access deny msn_messenger • acl msn_url url_regex -i gateway.dll • acl msn_port port 1863 • http_access deny msn_method msn_url • http_access deny msn_port • http_access deny CONNECT msn_port

-i

Ruteo • El encaminamiento (ruteo o enrutamiento) es el mecanismo por el que en una red los paquetes de información se hacen llegar desde su origen a su destino final, siguiendo un camino o ruta a través de la red. • El encaminamiento es jerarquizado y se hace a través de tablas que indican como enviar los paquetes.

Ruteo • En una PC con diversas tarjetas de red e implementando algoritmos y tablas de ruteo se tiene un ruteador barato. • RIP (Routing Information Protocol) • OSPF(Open Shortest Path First) • EIGRP(Enhanced Internet Gateway Routing Protocol) • BGP(Border Gateway Protocol)

Ruteo • route add –net default gw 192.168.1.1 dev eth0 • route add –host 255.255.255.0

192.168.1.42

netsmask

• route -n show • traceroute muestra la trayectoria de un paquete • pathping

Administración y monitoreo de Redes • Debido a la gran importancia que juegan hoy en día las redes de computadoras ha hecho que su desempeño sea vital. De ahí la importancia de verificar que todos los procesos de la red hagan buen uso de la misma. • A través del monitoreo es posible configurar hardware e instalar software.

Administración y monitoreo • nmap mapa de la red • ntop visor de procesos de la red • tcpdump sniffer básico • snmp_walk muestra nodos en el árbol MIB

SNMP • El Protocolo Simple de administración de red es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. SNMP permite a los administradores supervisar el desempeño de la red, buscar y resolver sus problemas, y planear su crecimiento. • Las versiones de SNMP más utilizadas son dos: SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2).

SNMP • SNMP en su última versión (SNMPv3) posee cambios significativos con relación a sus predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria. • Una base de información de administración (MIB) es una colección de información que está organizada jerárquicamente. Las MIB’s son accedidas usando un protocolo de administración de red, como por ejemplo, SNMP.

SNMP

SNMP • El objeto administrado atInput identificado por el 1.3.6.1.4.1.9.3.3.1.

podría

ser

• Utiliza el puerto 161 y el SNMP-trap el 162 • El corazón del árbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en su conjunto son llamados mib-2. Los grupos son los siguientes: – System (1), Interfaces (2), AT (3), IP (4), ICMP (5), TCP (6), UDP (7), EGP (8), Transmission (10), SNMP (11)

SNMP • GetRequest • GetNextRequest • SetRequest • GetResponse • Trap (Cold start, Warm start, Link down, Link up, Authentication failure, …) • GetBulkRequest • InformRequest

SNMP • service snmpd start • chkconfig snmpd on • • • • • • •

/usr/bin/snmpget /usr/bin/snmpgetnext /usr/bin/snmpset /usr/bin/snmpwalk /usr/bin/snmpnetstat /usr/bin/snmptrapd /usr/bin/snmptest

SNMP • snmpget localhost interfaces.ifNumber.0

public

• snmpwalk -v 1 192.168.1.254 -c Cl4v3-d3Acc3s0 system • snmpwalk -v 1 192.168.1.254 -c Cl4v3-d3Acc3s0 interfaces • #snmpset –v 1 -c necromantux 192.168.1.35

Sniffers • Sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos. • Las LANs son redes de difusión en las cuales la información pasa por todas las máquinas. Si la tarjeta está en modo promiscuo puede leer esos paquetes.

Sniffers • Utilización de los sniffers – Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. – Conversión del tráfico de red en un formato entendible por los humanos. – Análisis de fallos para descubrir problemas en la Medición del tráfico de la red. – Detección de intrusos

Sniffers • Ethereal (Wireshark) Gráfico • tcpdump (Windump) Texto • Ethereal es un analizador de protocolos, utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación.

Tcpdump • tcpdump -i eth0 – -n resuleve nombres – -s longitud – -x -X imprime contenido

• • • •

tcpdump src host 192.168.1.1 tcpdump host 192.168.1.2 tcpdump ether dst 0:2:a5:ee:ec:10 tcpdump dst net 192.168.1.0

Tcpdump • tcpdump src net 192.168.1.0 255.255.255.240 • tcpdump net 10.0.0.0/24 • tcpdump dst port 23 • tcpdump ip proto \\ip • tcpdump udp • tcpdump -n ether proto \\arp • tcpdump tcp and port 80

mask

Impresión • Una de las mayores problemáticas que se ha presentado en Linux es el tema de la impresión debido a que en muchas ocasiones no es tan fácil encontrar los controladores. • /etc/hosts.lpd /etc/hosts.equiv • borrándolos se autoriza la impresión remota para cualquiera. • Printtool • /etc/printcap

Impresión • • • • •

Impresora|lp: \ :sd=/var/spool/lpd/lp: \ sh: \ rm=intrepid: \ rp=engprint:

• Samba impresión smbprint

Impresión /var/spool/lpd/NOMBRE-IMPRESORA/.config Server=MAQUINA Service=NOMBRE_IMPRESORA Password=“password” Lpr archivo Lpr –P impresora archivo lprm

Impresión • /usr/sbin/lpc up betty • /etc/printcap betty| lp:lp=/dev/lp1:sd=/var/spool/lp1:sh:lf=/var/ad m/lpd-errs:of=/etc/start-dj500: • lpc • /usr/spool

VPN • La VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. • El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet. • Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación

VPN • Para realizar esa conexión virtual de redes sobre Internet, se necesita de cifrar los datos dado que Internet es totalmente seguro. A este proceso se le denomina tuneleo. • Los algoritmos de cifrado son: IPSEC, PPTP, L2F, L2TP, SSL/TLS, SSH • Con las VPN se logra una línea dedica virtual a un bajo costo.

VPN โ ข FreeSWAN www.freeswan.org Cifrado y autentificaciรณn IPSEC

Cifrado • Métodos básicos de cifrado • % crypt 78hg65df < agents.txt > agents.crypt; rm agents.txt • Strings agents.crypt • Pgp –kg • Seleccionar algoritmo y tamaño de la llave

Cifrado • Pgp –kl • Lista todas las llaves del sistema • Pgp –x Usuario • Exporta la clave pública • Pgp –c secret.doc • Cifra datos de forma simétrica

Cifrado • Pgp –e henry secret.doc • Lo cifra para otro usuario • Pgp –ea henry secret.doc • Se envia en formato ASCII

Monitoreo de puertos • Nmap dir_ip • Nessus auditoria • Iptables –A INPUT tcp –dport 80 –j ACCEPT • Iptables –A INPUT –p icmp –j DROP • Iptables –A OUTPUT –p tcp –d dir_ip –j REJECT • Iptables –A OUTPUT –p tcp –d dir_ip –dport 80 –j REJECT

Comandos Net • Net Config [server | workstation] • Muestra la información del cliente de red sobre el sistema actual • Net start y net stop sirven para inicializar y parar servicios de red. • Net session \\compu /delete

Comandos NET • ADMIN$ Da acceso a losa dministradores al sistema de archivo, aunque los discos no se compartan. • IPC$ Crea un canal de comunicación IPC entre el equipo del usuario y el equipo del administrador. • Si se planifica bien una red, se pueden reducir del 80-90% de la red.

Referencias • Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM. • González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

Referencias • Date, C. (2001) Introducción a los Sistemas de Bases de Datos, Séptima edición, Capítulo 16 Seguridad, Pearson Educación, pp. 504-536. • McPherson, F. (2005), Pocket PC a su Alcance, 3ra. Edición, McGraw-Hill, México, 2005, ISBN: 970-10-4731-1.

Referencias • Elmasri, R. y Navathe S. (2000) Sistemas de Bases de Datos, 2da. Edición. Capítulo 20 Seguridad, Addison-Wesley 200, México, pp. 599-613, ISBN: 968-444-399-4. • Tanenbaum, A. y Van Steen, M. (2007). Distributed Systems. Principles and Paradigms, Segunda edición, Capítulo 9 Seguridad, Pearson Education, Estados Unidos, pp. 377-442, ISBN: 0-13-239227-5.

referencias • Guerrero, R. (2008). Proyecto de Comunicación Telefónica VoIP en Gobierno del Estado de Michoacán, Tesina de Titulación. • Watters, P (2005) Solaris 10 The Complete Reference, McGraw-Hill Osborne, Estados Unidos, ISBN: 0-07-222998-5.

Referencias • Coulouris, G., Dollimore, J. y Kindberg, T. (2001). Sistemas Distribuidos, Capítulo 7 Seguridad, pp. 235-289, ISBN: 84-7829-0494. • Nyhus, R. (2008). Redes y Redes Inalámbricas. PC Cuadernos, España. • Facundo, H. (2007). Revista USERS LinuxSeguridad, número 24 pp. 24-37.

Referencias • Froufe, A. y Jorge, P. (2004) J2ME Java 2 Micro Edition, Alfaomega Ra-Ma, México, ISBN: 970-15-1022-4. • Millán, R. (2006). Domine las Redes P2P, Alfaomega, España, ISBN: 970-15-1206-5. • Velte, T. (2008). Manual de Cisco, Cuarta Edición, McGraw-Hill, México, ISBN: 978970-10-5927-2

Referencias • Stallings, W. (2004) Comunicaciones y Redes de Computadoras, Séptima Edición, Pearson Prentice Hall, España, ISBN: 84205-4110-9. • Nichols, R. y Lekkas, P. (2003) Seguridad para Comunicaciones Inalámbricas, McGrawHill, España, ISBN: 84-481-3782-5. • Shah, S. (2001) Manual de Administración de

Referencias • Gómez, A. (2007). Enciclopedia de la Seguridad Informática, Alfaomega, México, ISBN: 978-970-15-1266-1. • McNab, C. (2004). Seguridad de Redes. Anaya Multimedia O’Reilly, España, ISBN: 84-415-1751-1

多Preguntas?

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.