anatomia de ataque informatico

Anatomía de los ataques informáticos y medidas técnicas preventivas

Gabriel Díaz Orueta

Anatomía de ataques informáticos Gabriel Díaz Orueta

1

Anatomía de los ataques ataques informáticos y medidas técnicas preventivas 1- In Intr tro oducci ucción ón 2- An Anat atom omía ía de un at ataq aque ue 3- Princi Principal pales es vul vulner nerabi abilid lidade ades s


2

1- Introducción


3


4


5

Introducción • Cualquiera puede ser objetivo de un ataque • No solo son susceptibles los PC, también móviles, PDAs, etc. • Internet es un territorio hostil • Los atacantes tienen intereses económicos


6

¿Qué es seguridad? • La seguridad absoluta es indemostrable. Se habla de fiabilidad • Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability ): – Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados – Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados – Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio) – Y más…Autenticación y autorización Anatomía de ataques informáticos Gabriel Díaz Orueta

7

¿Qué queremos proteger? • Los recursos del sistema – Hardware – Software – Datos

• Tipos de ataque a los recursos: – Interrupción: el recurso queda inutilizable o no disponible – Interceptación: captura de un recurso o acceso al mismo – Modificación o destrucción: Interceptación y manipulación del recurso – Fabricación: generación de recursos similares a los atacados


8

¿De qué nos queremos proteger? • De todos aquellos agentes que puedan atacar a nuestros recursos – Personas: empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados – Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami – Catástrofes


9

Algunos ejemplos: Personas • Un ex-empleado se cuela en la organización después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó • Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento • Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa Anatomía de ataques informáticos Gabriel Díaz Orueta

10

Algunos ejemplos: Catástrofes • Un rayo genera una sobre tensión en la red eléctrica. El servidor central de la empresa se ve afectado y su disco duro deja de funcionar • Al poner un archivador en una estantería el administrador de sistemas empuja un bote de refresco empuja y este cae sobre un servidor. La placa se quema Anatomía de ataques informáticos Gabriel Díaz Orueta

11

¿Cómo nos podemos proteger? 1. 2. 3. 4.

Análisis de amenazas Evaluación de (posibles) pérdidas y su probabilidad Definición de una política de seguridad Implementación de la política: mecanismos de seguridad -

De prevención: durante el funcionamiento normal del sistema De detección: mientras se produce un intento de ataque De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense


12

Vulnerabilidad La vulnerabilidad de una organización depende de: • El grado de publicidad de la organización • El coste de los ataques • La exposición de la organización a los ataques externos • La exposición de la organización ante ataques internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: • Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información? • Confianza: ¿En qué medida se puede contar con los usuarios?


13

Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos • • •

¿Los malos van a tratar de actuar sobre mi sistema? ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización? ¿Puede ocurrir que la reputación de mi organización se vea comprometida?


14

Tipos de amenazas • • • • • •

Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... Utilización de la información para usos no previstos. Puede venir del exterior o del interior Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios... Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización


15

Algunos ejemplos de amenazas lógicas • • • • • • •

Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huésped) Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing” Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización Anatomía de ataques informáticos Gabriel Díaz Orueta

16

Ejemplos de signos de ataque • El sistema se para • Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces) • Intentos de escritura en los ficheros del sistema • Algunos ficheros desaparecen • Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar) • Las prestaciones del sistema son inexplicablemente bajas • Sondas sospechosas (logins incorrectos repetidos desde otro nodo)


17

Ejemplos de signos de ataque • • • • • • • •

Logins desde lugares o a horas no habituales Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.) Cambios en los ficheros de claves, listas de grupos, etc. Cambios en ficheros de configuración del sistema, en bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail) no justificables Interfaces de red en modo promiscuo


18

Ejemplos de agujeros en la seguridad • • • • • • • • • •

Claves fáciles de adivinar, o claves por defecto Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de grupo Servicios no seguros mal configurados (tftp, sendmail, ftp) Servicios no seguros e inútiles (finger, rusers, rsh) Ficheros de configuración de la red o del acceso no seguros (entradas + en configuración NIS) Consolas inseguras Protección de acceso y propiedad de ficheros sensibles mal configurada Versiones no actualizadas del sistema operativo Conexiones telefónicas inseguras Política de copias de seguridad inexistente o mal diseñada Anatomía de ataques informáticos Gabriel Díaz Orueta

19

Contramedidas • Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: – Estática (username/password) – Robusta (claves de un solo uso, firmas electrónicas) – Continua (firmas electrónicas aplicadas a todo el contenido de la sesión)

• Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias • Cifrado. Proporciona confidencialidad, autenticidad e integridad • Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc Anatomía de ataques informáticos Gabriel Díaz Orueta

20

Contramedidas • Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc • Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc • Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc


21

2- Anatomía de un ataque

CPU


22

Clasificación • Según el origen: – Externo. Realizados desde el exterior del sistema – Interno. Realizados desde el interior del sistema

• Según la complejidad: – No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes – Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos


23

Anatomía de un ataque

Búsqueda

Acceso

Borrando las huellas

Rastreo

Obtención de privilegios

Puertas traseras

Enumeración

Pilfering

Denegación de servicio


24

Anatomía de un ataque. Búsqueda • Objetivo – Recogida de información, información, ingeniería ingeniería social, social, selección de rangos de direcciones y espacios de nombres

• Técnicas – Búsquedas en en información pública (Google: nombre -> URL) – Interfaz Web a whois – ARIN, RIPE whois – DNS zone transfer transfer (nslookup) (nslookup) – Reconocimiento de de redes (traceroute) (traceroute)


25

Ejemplo de búsqueda

Web

Nombre empresa

Dominio

Anatomía de ataques informáticos Gabriel Díaz Orueta Información sobre el dominio

26

Transferencia de zona • Un servidor de nombres primario (secundario) transfiere toda su base de datos a un servidor secundario Definición de zona $TTL 86400 @

SOA

@ @ @ @ @ @

IN 42 3H 15M 1W 1D ) IN IN IN IN IN IN

NS NS MX MX TXT HINFO

dominio_ejemplo.org. postmaster.dominio_ejemplo.org. ( ; serial ; refresh ; retry ; expiry ; minimum ns1.dominio_ejemplo.org. ns2.dominio_ejemplo.org. 10 mx1.dominio_ejemplo.org. 20 mx2.dominio_ejemplo.org. "dominio_ejemplo.org" "Intel Pentium IV" "Fedora Core"

@ ns1 ns2 mx1 mx2 www www2 webmail smtp redirect

IN IN IN IN IN IN IN IN IN IN

A A A A A A A A A CNAME

215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 215.127.55.12 215.127.55.12 dominio_ejemplo.no-ip.info

nombre

Primario

Secundario

IP

Transferencia de zona

27 Anatomía de ataques informáticos Se pueden conseguir las IPs activas en el dominio Gabriel Díaz Orueta

Anatomía de un ataque. Búsqueda • Contramedidas – Control del contenido de la información pública – Precaución con la información de registro – Seguridad en DNS (p. ej. no permitir las transferencias de zona) – Instalación de sistemas de detección de intrusiones (NIDS) Anatomía de ataques informáticos Gabriel Díaz Orueta

28

Anatomía de un ataque. Rastreo (scanning ) • Objetivo – Identificación de equipos y servicios. – Selección de los puntos de entrada más prometedores

• Técnicas – Ping sweep (fping, nmap) – Consultas ICMP (icmpquery) – TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) – Detección del sistema operativo (nmap, queso) – Herramientas de descubrimiento automático (Chaos) Anatomía de ataques informáticos Gabriel Díaz Orueta

29

Ejemplo de rastreo fping

Una vez que sabemos las IPs o los nombres podemos saber si están activas

Siguiente paso … ¿qué puertos tienen abiertos?


30

Anatomía de un ataque. Rastreo • Contramedidas – Herramientas de detección de ping (Scanlogd, Courtney, Ippl, Protolog) – Configuración adecuada de los routers de frontera (access lists) – Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm) – Desconectar servicios inútiles o peligrosos Anatomía de ataques informáticos Gabriel Díaz Orueta

31

Anatomía de un ataque. Enumeración •

Objetivo – Descubrir cuentas de usuario válidas y recursos compartidos mal protegidos

•

Técnicas – Listados de cuentas (finger) – Listados de ficheros compartidos (showmount, enumeración NetBIOS) – Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.) – NT Resource Kit

•

Contramedidas – Las del rastreo – Control del Software – Formación de los usuarios


32

Ejemplo www.inforg.uned.es

nslookup

156.35.131.170

telnet 156.35.131.170 80 HTTP/1.1 400 Bad Request Date: Mon, 04 Feb 2008 11:15:13 GMT Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 mod_ssl/2.2.3 OpenSSL/0.9.8c Content-Length: 360 Connection: close Content-Type: text/html; charset=iso-8859-1

Sabemos que el servicio Web está activo, Que el servidor Web es Apache Que el SO es Debian


33

Anatomía de un ataque. Acceso • Objetivo – Ya disponemos de información suficiente para intentar un acceso documentado al sistema

• Técnicas – Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) – Forzado de recursos compartidos – Obtención del fichero de passwords – Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) – Ingeniería social Anatomía de ataques informáticos Gabriel Díaz Orueta

34

Anatomía de un ataque. Acceso • Contramedidas – Control de las actualizaciones del software – Control en la instalación o ejecución de aplicaciones – Cortafuegos personales, detección de intrusiones – Educación de los usuarios (selección de buenas passwords) – Auditoría e históricos Anatomía de ataques informáticos Gabriel Díaz Orueta

35

Anatomía de un ataque. Obtención de privilegios • Objetivo – Obtener permisos de administrador a partir de los permisos de usuario

• Técnicas – Vulnerabilidades conocidas – Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas – Capturadores de teclado – Las del acceso

• Contramedidas – Las del acceso Anatomía de ataques informáticos Gabriel Díaz Orueta

36

Anatomía de un ataque. Pilfering • Objetivo – Nueva búsqueda de información para atacar a otros sistemas de confianza

• Técnicas – Evaluación del nivel de confianza (rhosts, secretos LSA) – Búsqueda de passwords en claro (bases de datos, servicios Web)

• Contramedidas – Las del acceso – Herramientas de monitorización de red – Actuaciones en el nivel de arquitectura Anatomía de ataques informáticos Gabriel Díaz Orueta

37

Anatomía de un ataque. Borrando las huellas • Objetivo – Una vez que se tiene el control total del sistema, ocultar el hecho al administrador legitimo del sistema

• Técnicas – Limpieza de logs – Ocultación de herramientas – Troyanos y puertas traseras

• Contramedidas – Gestión de históricos y monitorización, a nivel de red y a nivel de host. – Control del SW instalado Anatomía de ataques informáticos Gabriel Díaz Orueta

38

Anatomía de un ataque. Creación de puertas traseras •

Objetivo – Permiten a un intruso volver a entrar en un sistema sin ser detectado, de la manera más rápida y con el menor impacto posible

•

Técnicas – Cuentas de usuario ficticias, robadas o inactivas – Trabajos batch – Ficheros de arranque infectados, librerías o núcleos modificados – Servicios de control remoto y caballos de Troya (Back Orifice) – Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) – Ocultación del tráfico de red y ocultación de procesos


39

Anatomía de un ataque. Creación de puertas traseras • Contramedidas – Básicamente, las del acceso (control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.) – Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras)


40

Anatomía de un ataque. Denegación de servicio • Objetivo – Si no se consigue el acceso, el atacante puede intentar deshabilitar el objetivo

• Técnicas – – – –

Inundación de SYNs Técnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idénticos

• Contramedidas – Configuración cuidadosa de los cortafuegos y routers Anatomía de ataques informáticos Gabriel Díaz Orueta

41

Ejemplo de ataque DDOS • Ataque por denegación de servicio distribuido (DDOS)

Máquina objetivo Máquina origen

Zombi Anatomía de ataques informáticos Gabriel Díaz Orueta

42

Ejemplo de ataque: DDOS • Muy eficaz. Deja rápidamente a la máquina fuera de combate • Difícil de parar. Si los zombies están bien elegidos estarán en diferentes subredes. Será complicado cortar el flujo de tráfico • No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo


43

Ejemplo de ataque: Phishing bancario • Basado en la idea del CazaBobos • Se rastrean páginas Web localizando direcciones de correo…o se “alquilan” los servicios de una botnet. • Se hace un mailing a dichas direcciones – Se disfraza la página Web haciendo parecer la de un banco – Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda) – Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante


44

Ejemplo de ataque: Phishing bancario

Dirección real: http://rumager.com/... Anatomía de ataques informáticos Gabriel Díaz Orueta

Dirección diferente Protocolo no seguro 45

Ejemplo de ataque: Phishing bancario • Entramos en la página • Nos pide el nombre de usuario y la contraseña del supuesto banco • La introducimos • No informa que el problema ha sido solucionado • !TIENEN NUESTRO NOMBRE DE USUARIO Y

NUESTRA CONTRASEÑA!


46

Ejemplo de ataque: IP Spoofing • Se suplanta la personalidad de un equipo • Es un ataque muy sofisticado Denegación de servicio

Suplantado IP: 156.35.14.2

Suplantador IP: 156.35.14.2

Se modifican las rutas


47

3- Principales vulnerabilidades


48

4 3

Servidor DMZ

Servidor DMZ

7

Servidor 10

LAN interna

13 I n t e r n e t

Estación Trabajo

8 Router frontera

Cortafuegos

Router Interno

1 Servidor Acceso Remoto

Usuario Remoto

2

11 11

LAN interna

Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta

12 5

14 6

9

Servidor

Estación Trabajo 49

3 13 I n t e r n e t

4 1: Servidor

Servidor DMZ

7

LAN DMZ interna Control de acceso al router inadecuado:

Servidor 10

ACLs mal configuradas en el router pueden permitir la fuga de información a través de Estación 12 paquetes ICMP, IP 8o NetBIOS, y facilitar el Trabajo 5 Router accesoCortafuegos no autorizado aRouter servicios dentro de la frontera Interno zona desmilitarizada. 14 Servidor Acceso Remoto

Usuario Remoto

2

11 11

LAN interna


6 9

Servidor


4 3

Servidor DMZ

Servidor DMZ

7 LAN interna

13 I n t e r n e t

8 Router frontera

1

Usuario Remoto

Cortafuegos 2:

Router Interno

Servidor 10

Estación Trabajo

12 5

14 LAN Los puntos de acceso remoto no seguros y no Servidor interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras más sencillas 11 de acceder a una red corporativa. Los usuarios remotos se suelen Oficina Estación Servidor conectar aRemota Internet con pocas protecciones, 9 Trabajo exponiendo al ataque información sensible Anatomía de ataques informáticos Gabriel Díaz Orueta

51

3:

I n t e r n e t

4

7 Servidor puede proporcionar LaServidor información disponible LAN DMZ información sobreDMZ el sistema operativo, interna versiones de las aplicaciones, usuarios, 13grupos, recursos compartidos, información DNS (transferencias de zonas), 8 y servicios Routercomo SNMP, finger, SMTP, Router abiertos telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1 Servidor Acceso Remoto

Usuario Remoto

2

11 11

LAN interna


Servidor 10

Estación Trabajo

12 5

14 6

9

Servidor


4: 3

7

Servidor Servidor Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden interna ser

fácilmente atacados.

13 I n t e r n e t

Servidor 10

Estación Trabajo

8 Router frontera

Cortafuegos

Router Interno


Usuario Remoto

2

11 11

LAN interna


12 5

14 6

9

Servidor


4 3

Servidor DMZ

Servidor 5: DMZ

Router frontera

Interno


Usuario Remoto

Servidor 10

LAN interna

La utilización de palabras clave débiles, fáciles 12 de adivinar o la reutilización de Estación palabras clave en las 8estaciones de trabajo puede compromeTrabajo Router ter los servidores. Cortafuegos

13 I n t e r n e t

7

2

11 11

LAN interna


14 6

9

Servidor


4 3

Servidor DMZ

Servidor DMZ

7

Servidor 10

LAN interna

13 I n t e r n e t

Estación Trabajo

8 Router frontera

Cortafuegos

6:


Usuario Remoto

Router Interno

2

12 5

14

LAN Otra vulnerabilidadinterna muy común son las

11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Remota


9

Servidor


4 3

7:

Servidor DMZ

Servidor

Servidor 10 Servidores de Internet en la zona desmilitariLAN DMZ zada mal configurados,interna sobre todo el código CGI o ASP, o servidores FTP anónimo 12 con directorios accesibles en escritura Estación para todo el8 mundo. SQL injection Trabajo 5

13 I n t e r n e t

Router frontera

Cortafuegos

Router Interno


Usuario Remoto

2

11 11

LAN interna


14 6

9

Servidor


4 3

Servidor DMZ

13 I n t e r n e t

Servidor DMZ

7 LAN interna

8: Router frontera

1

Usuario Remoto

Servidor 10

Estación Trabajo

Router Cortafuegos Unas listas de acceso (ACL) mal configuradas Interno

12 5

en el cortafuegos o en el router pueden permitir el acceso desde el exterior,14bien directamente, o bien una vez queLAN la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estación Servidor 9 Remota Trabajo Anatomía de ataques informáticos Gabriel Díaz Orueta

57

4 3

Servidor DMZ

Servidor DMZ

7 LAN interna

13 I n t e r n e t

8 Router frontera

Cortafuegos 9:

1

Servidor Acceso Remoto

Usuario Remoto

2

Router Interno

Servidor 10

Estación Trabajo

12 5

14 Software obsoleto, LAN al que no se le han instainterna lado los parches 11 recomendados por el fa6 bricante, vulnerable, o con las configuraciones 11 porOficina defecto, especialmente los servidores Estación Servidor WWW. Remota Trabajo


58

4 3

10:

Servidor DMZ

compartidos en Windows NT, recursos 12 Estación exportados con NFS en Unix. 8 Trabajo 5

13 I n t e r n e t

7

Servidor Servidor LAN Controles de acceso a los ficheros o a los DMZ interna directorios mal configurados (e.g. Recursos

Router frontera

Cortafuegos

Router Interno


Usuario Remoto

2

11 11

LAN interna


14 6

9

Servidor


4 3

Servidor DMZ

Servidor DMZ

7 LAN interna

13 I n t e r n e t

8 Router frontera

1

Usuario Remoto

: 11Cortafuegos

Router Interno

Servidor 10

Estación Trabajo

12 5

14 en Las relaciones de confianza excesivas LAN dominios NT o entradas en .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas ). 2 Sensibles (pilfering Oficina Estación Servidor 9 Remota Trabajo Anatomía de ataques informáticos Gabriel Díaz Orueta

60

4 3

Servidor DMZ

Servidor DMZ 12:

13 I n t e r n e t

7

Los servicios sin control de acceso de Estación 8 como X Windows permiten usuarios, a los5 Trabajo atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno 14

Router frontera

1

Servidor Acceso Remoto

Usuario Remoto

Servidor 10

LAN interna

2

11

11

LAN interna


6 9

Servidor


4 3 Servidor 13: DMZ

I n t e r n e t

Servidor DMZ

7

Servidor 10

LAN interna

La gestión inadecuada de históricos, la falta de una monitorización adecuada o la falta de servicios de detección de8 intrusiones tanto Router en elRouter nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 Servidor Acceso Remoto

Usuario Remoto

2

11

11

Estación Trabajo

12 5

LAN interna


6 9

Servidor


4 3

Servidor DMZ

Servidor DMZ

7 LAN interna

13 I n t e r n e t

Estación Trabajo

8 Router frontera

14: Cortafuegos


Usuario Remoto

2

Servidor 10

Router Interno

12 5

La falta de políticas de seguridad aceptadas LAN y publicadas, así por todos y bien definidas interna como de los procedimientos, normas y guías 11 de actuación relacionadas. 6 11 Oficina Remota


9

Servidor


¿Alguna pregunta?

Gabriel Díaz Orueta, Dpto. Ingeniería Eléctrica Electrónica y de Control http://www.ieec.uned.es Anatomía de ataques informáticos Gabriel Díaz Orueta

64

Bibliografía • • • • • • •

Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004 Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004 Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005 Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003 Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005 Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003


65

anatomia de ataque informatico

Recommend Documents