Anatomía de los ataques informáticos y medidas técnicas preventivas
Gabriel Díaz Orueta
Anatomía de ataques informáticos Gabriel Díaz Orueta
1
Anatomía de los ataques ataques informáticos y medidas técnicas preventivas 1- In Intr tro oducci ucción ón 2- An Anat atom omía ía de un at ataq aque ue 3- Princi Principal pales es vul vulner nerabi abilid lidade ades s
Anatomía de ataques informáticos Gabriel Díaz Orueta
2
1- Introducción
Anatomía de ataques informáticos Gabriel Díaz Orueta
3
Anatomía de ataques informáticos Gabriel Díaz Orueta
4
Anatomía de ataques informáticos Gabriel Díaz Orueta
5
Introducción • Cualquiera puede ser objetivo de un ataque • No solo son susceptibles los PC, también móviles, PDAs, etc. • Internet es un territorio hostil • Los atacantes tienen intereses económicos
Anatomía de ataques informáticos Gabriel Díaz Orueta
6
¿Qué es seguridad? • La seguridad absoluta es indemostrable. Se habla de fiabilidad • Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability ): – Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados – Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados – Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio) – Y más…Autenticación y autorización Anatomía de ataques informáticos Gabriel Díaz Orueta
7
¿Qué queremos proteger? • Los recursos del sistema – Hardware – Software – Datos
• Tipos de ataque a los recursos: – Interrupción: el recurso queda inutilizable o no disponible – Interceptación: captura de un recurso o acceso al mismo – Modificación o destrucción: Interceptación y manipulación del recurso – Fabricación: generación de recursos similares a los atacados
Anatomía de ataques informáticos Gabriel Díaz Orueta
8
¿De qué nos queremos proteger? • De todos aquellos agentes que puedan atacar a nuestros recursos – Personas: empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados – Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami – Catástrofes
Anatomía de ataques informáticos Gabriel Díaz Orueta
9
Algunos ejemplos: Personas • Un ex-empleado se cuela en la organización después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó • Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento • Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa Anatomía de ataques informáticos Gabriel Díaz Orueta
10
Algunos ejemplos: Catástrofes • Un rayo genera una sobre tensión en la red eléctrica. El servidor central de la empresa se ve afectado y su disco duro deja de funcionar • Al poner un archivador en una estantería el administrador de sistemas empuja un bote de refresco empuja y este cae sobre un servidor. La placa se quema Anatomía de ataques informáticos Gabriel Díaz Orueta
11
¿Cómo nos podemos proteger? 1. 2. 3. 4.
Análisis de amenazas Evaluación de (posibles) pérdidas y su probabilidad Definición de una política de seguridad Implementación de la política: mecanismos de seguridad -
De prevención: durante el funcionamiento normal del sistema De detección: mientras se produce un intento de ataque De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense
Anatomía de ataques informáticos Gabriel Díaz Orueta
12
Vulnerabilidad La vulnerabilidad de una organización depende de: • El grado de publicidad de la organización • El coste de los ataques • La exposición de la organización a los ataques externos • La exposición de la organización ante ataques internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: • Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información? • Confianza: ¿En qué medida se puede contar con los usuarios?
Anatomía de ataques informáticos Gabriel Díaz Orueta
13
Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos • • •
¿Los malos van a tratar de actuar sobre mi sistema? ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización? ¿Puede ocurrir que la reputación de mi organización se vea comprometida?
Anatomía de ataques informáticos Gabriel Díaz Orueta
14
Tipos de amenazas • • • • • •
Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... Utilización de la información para usos no previstos. Puede venir del exterior o del interior Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios... Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización
Anatomía de ataques informáticos Gabriel Díaz Orueta
15
Algunos ejemplos de amenazas lógicas • • • • • • •
Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huésped) Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing” Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización Anatomía de ataques informáticos Gabriel Díaz Orueta
16
Ejemplos de signos de ataque • El sistema se para • Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces) • Intentos de escritura en los ficheros del sistema • Algunos ficheros desaparecen • Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar) • Las prestaciones del sistema son inexplicablemente bajas • Sondas sospechosas (logins incorrectos repetidos desde otro nodo)
Anatomía de ataques informáticos Gabriel Díaz Orueta
17
Ejemplos de signos de ataque • • • • • • • •
Logins desde lugares o a horas no habituales Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.) Cambios en los ficheros de claves, listas de grupos, etc. Cambios en ficheros de configuración del sistema, en bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail) no justificables Interfaces de red en modo promiscuo
Anatomía de ataques informáticos Gabriel Díaz Orueta
18
Ejemplos de agujeros en la seguridad • • • • • • • • • •
Claves fáciles de adivinar, o claves por defecto Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de grupo Servicios no seguros mal configurados (tftp, sendmail, ftp) Servicios no seguros e inútiles (finger, rusers, rsh) Ficheros de configuración de la red o del acceso no seguros (entradas + en configuración NIS) Consolas inseguras Protección de acceso y propiedad de ficheros sensibles mal configurada Versiones no actualizadas del sistema operativo Conexiones telefónicas inseguras Política de copias de seguridad inexistente o mal diseñada Anatomía de ataques informáticos Gabriel Díaz Orueta
19
Contramedidas • Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: – Estática (username/password) – Robusta (claves de un solo uso, firmas electrónicas) – Continua (firmas electrónicas aplicadas a todo el contenido de la sesión)
• Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias • Cifrado. Proporciona confidencialidad, autenticidad e integridad • Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc Anatomía de ataques informáticos Gabriel Díaz Orueta
20
Contramedidas • Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc • Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc • Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc
Anatomía de ataques informáticos Gabriel Díaz Orueta
21
2- Anatomía de un ataque
CPU
Anatomía de ataques informáticos Gabriel Díaz Orueta
22
Clasificación • Según el origen: – Externo. Realizados desde el exterior del sistema – Interno. Realizados desde el interior del sistema
• Según la complejidad: – No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes – Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos
Anatomía de ataques informáticos Gabriel Díaz Orueta
23
Anatomía de un ataque
Búsqueda
Acceso
Borrando las huellas
Rastreo
Obtención de privilegios
Puertas traseras
Enumeración
Pilfering
Denegación de servicio
Anatomía de ataques informáticos Gabriel Díaz Orueta
24
Anatomía de un ataque. Búsqueda • Objetivo – Recogida de información, información, ingeniería ingeniería social, social, selección de rangos de direcciones y espacios de nombres
• Técnicas – Búsquedas en en información pública (Google: nombre -> URL) – Interfaz Web a whois – ARIN, RIPE whois – DNS zone transfer transfer (nslookup) (nslookup) – Reconocimiento de de redes (traceroute) (traceroute)
Anatomía de ataques informáticos Gabriel Díaz Orueta
25
Ejemplo de búsqueda
Web
Nombre empresa
Dominio
Anatomía de ataques informáticos Gabriel Díaz Orueta Información sobre el dominio
26
Transferencia de zona • Un servidor de nombres primario (secundario) transfiere toda su base de datos a un servidor secundario Definición de zona $TTL 86400 @
SOA
@ @ @ @ @ @
IN 42 3H 15M 1W 1D ) IN IN IN IN IN IN
NS NS MX MX TXT HINFO
dominio_ejemplo.org. postmaster.dominio_ejemplo.org. ( ; serial ; refresh ; retry ; expiry ; minimum ns1.dominio_ejemplo.org. ns2.dominio_ejemplo.org. 10 mx1.dominio_ejemplo.org. 20 mx2.dominio_ejemplo.org. "dominio_ejemplo.org" "Intel Pentium IV" "Fedora Core"
@ ns1 ns2 mx1 mx2 www www2 webmail smtp redirect
IN IN IN IN IN IN IN IN IN IN
A A A A A A A A A CNAME
215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 215.127.55.12 215.127.55.12 dominio_ejemplo.no-ip.info
nombre
Primario
Secundario
IP
Transferencia de zona
27 Anatomía de ataques informáticos Se pueden conseguir las IPs activas en el dominio Gabriel Díaz Orueta
Anatomía de un ataque. Búsqueda • Contramedidas – Control del contenido de la información pública – Precaución con la información de registro – Seguridad en DNS (p. ej. no permitir las transferencias de zona) – Instalación de sistemas de detección de intrusiones (NIDS) Anatomía de ataques informáticos Gabriel Díaz Orueta
28
Anatomía de un ataque. Rastreo (scanning ) • Objetivo – Identificación de equipos y servicios. – Selección de los puntos de entrada más prometedores
• Técnicas – Ping sweep (fping, nmap) – Consultas ICMP (icmpquery) – TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) – Detección del sistema operativo (nmap, queso) – Herramientas de descubrimiento automático (Chaos) Anatomía de ataques informáticos Gabriel Díaz Orueta
29
Ejemplo de rastreo fping
Una vez que sabemos las IPs o los nombres podemos saber si están activas
Siguiente paso … ¿qué puertos tienen abiertos?
Anatomía de ataques informáticos Gabriel Díaz Orueta
30
Anatomía de un ataque. Rastreo • Contramedidas – Herramientas de detección de ping (Scanlogd, Courtney, Ippl, Protolog) – Configuración adecuada de los routers de frontera (access lists) – Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm) – Desconectar servicios inútiles o peligrosos Anatomía de ataques informáticos Gabriel Díaz Orueta
31
Anatomía de un ataque. Enumeración •
Objetivo – Descubrir cuentas de usuario válidas y recursos compartidos mal protegidos
•
Técnicas – Listados de cuentas (finger) – Listados de ficheros compartidos (showmount, enumeración NetBIOS) – Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.) – NT Resource Kit
•
Contramedidas – Las del rastreo – Control del Software – Formación de los usuarios
Anatomía de ataques informáticos Gabriel Díaz Orueta
32
Ejemplo www.inforg.uned.es
nslookup
156.35.131.170
telnet 156.35.131.170 80 HTTP/1.1 400 Bad Request Date: Mon, 04 Feb 2008 11:15:13 GMT Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 mod_ssl/2.2.3 OpenSSL/0.9.8c Content-Length: 360 Connection: close Content-Type: text/html; charset=iso-8859-1
Sabemos que el servicio Web está activo, Que el servidor Web es Apache Que el SO es Debian
Anatomía de ataques informáticos Gabriel Díaz Orueta
33
Anatomía de un ataque. Acceso • Objetivo – Ya disponemos de información suficiente para intentar un acceso documentado al sistema
• Técnicas – Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) – Forzado de recursos compartidos – Obtención del fichero de passwords – Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) – Ingeniería social Anatomía de ataques informáticos Gabriel Díaz Orueta
34
Anatomía de un ataque. Acceso • Contramedidas – Control de las actualizaciones del software – Control en la instalación o ejecución de aplicaciones – Cortafuegos personales, detección de intrusiones – Educación de los usuarios (selección de buenas passwords) – Auditoría e históricos Anatomía de ataques informáticos Gabriel Díaz Orueta
35
Anatomía de un ataque. Obtención de privilegios • Objetivo – Obtener permisos de administrador a partir de los permisos de usuario
• Técnicas – Vulnerabilidades conocidas – Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas – Capturadores de teclado – Las del acceso
• Contramedidas – Las del acceso Anatomía de ataques informáticos Gabriel Díaz Orueta
36
Anatomía de un ataque. Pilfering • Objetivo – Nueva búsqueda de información para atacar a otros sistemas de confianza
• Técnicas – Evaluación del nivel de confianza (rhosts, secretos LSA) – Búsqueda de passwords en claro (bases de datos, servicios Web)
• Contramedidas – Las del acceso – Herramientas de monitorización de red – Actuaciones en el nivel de arquitectura Anatomía de ataques informáticos Gabriel Díaz Orueta
37
Anatomía de un ataque. Borrando las huellas • Objetivo – Una vez que se tiene el control total del sistema, ocultar el hecho al administrador legitimo del sistema
• Técnicas – Limpieza de logs – Ocultación de herramientas – Troyanos y puertas traseras
• Contramedidas – Gestión de históricos y monitorización, a nivel de red y a nivel de host. – Control del SW instalado Anatomía de ataques informáticos Gabriel Díaz Orueta
38
Anatomía de un ataque. Creación de puertas traseras •
Objetivo – Permiten a un intruso volver a entrar en un sistema sin ser detectado, de la manera más rápida y con el menor impacto posible
•
Técnicas – Cuentas de usuario ficticias, robadas o inactivas – Trabajos batch – Ficheros de arranque infectados, librerías o núcleos modificados – Servicios de control remoto y caballos de Troya (Back Orifice) – Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) – Ocultación del tráfico de red y ocultación de procesos
Anatomía de ataques informáticos Gabriel Díaz Orueta
39
Anatomía de un ataque. Creación de puertas traseras • Contramedidas – Básicamente, las del acceso (control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.) – Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras)
Anatomía de ataques informáticos Gabriel Díaz Orueta
40
Anatomía de un ataque. Denegación de servicio • Objetivo – Si no se consigue el acceso, el atacante puede intentar deshabilitar el objetivo
• Técnicas – – – –
Inundación de SYNs Técnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idénticos
• Contramedidas – Configuración cuidadosa de los cortafuegos y routers Anatomía de ataques informáticos Gabriel Díaz Orueta
41
Ejemplo de ataque DDOS • Ataque por denegación de servicio distribuido (DDOS)
Máquina objetivo Máquina origen
Zombi Anatomía de ataques informáticos Gabriel Díaz Orueta
42
Ejemplo de ataque: DDOS • Muy eficaz. Deja rápidamente a la máquina fuera de combate • Difícil de parar. Si los zombies están bien elegidos estarán en diferentes subredes. Será complicado cortar el flujo de tráfico • No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo
Anatomía de ataques informáticos Gabriel Díaz Orueta
43
Ejemplo de ataque: Phishing bancario • Basado en la idea del CazaBobos • Se rastrean páginas Web localizando direcciones de correo…o se “alquilan” los servicios de una botnet. • Se hace un mailing a dichas direcciones – Se disfraza la página Web haciendo parecer la de un banco – Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda) – Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante
Anatomía de ataques informáticos Gabriel Díaz Orueta
44
Ejemplo de ataque: Phishing bancario
Dirección real: http://rumager.com/... Anatomía de ataques informáticos Gabriel Díaz Orueta
Dirección diferente Protocolo no seguro 45
Ejemplo de ataque: Phishing bancario • Entramos en la página • Nos pide el nombre de usuario y la contraseña del supuesto banco • La introducimos • No informa que el problema ha sido solucionado • !TIENEN NUESTRO NOMBRE DE USUARIO Y
NUESTRA CONTRASEÑA!
Anatomía de ataques informáticos Gabriel Díaz Orueta
46
Ejemplo de ataque: IP Spoofing • Se suplanta la personalidad de un equipo • Es un ataque muy sofisticado Denegación de servicio
Suplantado IP: 156.35.14.2
Suplantador IP: 156.35.14.2
Se modifican las rutas
Anatomía de ataques informáticos Gabriel Díaz Orueta
47
3- Principales vulnerabilidades
Anatomía de ataques informáticos Gabriel Díaz Orueta
48
4 3
Servidor DMZ
Servidor DMZ
7
Servidor 10
LAN interna
13 I n t e r n e t
Estación Trabajo
8 Router frontera
Cortafuegos
Router Interno
1 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
12 5
14 6
9
Servidor
Estación Trabajo 49
3 13 I n t e r n e t
4 1: Servidor
Servidor DMZ
7
LAN DMZ interna Control de acceso al router inadecuado:
Servidor 10
ACLs mal configuradas en el router pueden permitir la fuga de información a través de Estación 12 paquetes ICMP, IP 8o NetBIOS, y facilitar el Trabajo 5 Router accesoCortafuegos no autorizado aRouter servicios dentro de la frontera Interno zona desmilitarizada. 14 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
6 9
Servidor
Estación Trabajo 50
4 3
Servidor DMZ
Servidor DMZ
7 LAN interna
13 I n t e r n e t
8 Router frontera
1
Usuario Remoto
Cortafuegos 2:
Router Interno
Servidor 10
Estación Trabajo
12 5
14 LAN Los puntos de acceso remoto no seguros y no Servidor interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras más sencillas 11 de acceder a una red corporativa. Los usuarios remotos se suelen Oficina Estación Servidor conectar aRemota Internet con pocas protecciones, 9 Trabajo exponiendo al ataque información sensible Anatomía de ataques informáticos Gabriel Díaz Orueta
51
3:
I n t e r n e t
4
7 Servidor puede proporcionar LaServidor información disponible LAN DMZ información sobreDMZ el sistema operativo, interna versiones de las aplicaciones, usuarios, 13grupos, recursos compartidos, información DNS (transferencias de zonas), 8 y servicios Routercomo SNMP, finger, SMTP, Router abiertos telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
Servidor 10
Estación Trabajo
12 5
14 6
9
Servidor
Estación Trabajo 52
4: 3
7
Servidor Servidor Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden interna ser
fácilmente atacados.
13 I n t e r n e t
Servidor 10
Estación Trabajo
8 Router frontera
Cortafuegos
Router Interno
1 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
12 5
14 6
9
Servidor
Estación Trabajo 53
4 3
Servidor DMZ
Servidor 5: DMZ
Router frontera
Interno
1 Servidor Acceso Remoto
Usuario Remoto
Servidor 10
LAN interna
La utilización de palabras clave débiles, fáciles 12 de adivinar o la reutilización de Estación palabras clave en las 8estaciones de trabajo puede compromeTrabajo Router ter los servidores. Cortafuegos
13 I n t e r n e t
7
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
14 6
9
Servidor
Estación Trabajo 54
4 3
Servidor DMZ
Servidor DMZ
7
Servidor 10
LAN interna
13 I n t e r n e t
Estación Trabajo
8 Router frontera
Cortafuegos
6:
1 Servidor Acceso Remoto
Usuario Remoto
Router Interno
2
12 5
14
LAN Otra vulnerabilidadinterna muy común son las
11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Remota
Anatomía de ataques informáticos Gabriel Díaz Orueta
9
Servidor
Estación Trabajo 55
4 3
7:
Servidor DMZ
Servidor
Servidor 10 Servidores de Internet en la zona desmilitariLAN DMZ zada mal configurados,interna sobre todo el código CGI o ASP, o servidores FTP anónimo 12 con directorios accesibles en escritura Estación para todo el8 mundo. SQL injection Trabajo 5
13 I n t e r n e t
Router frontera
Cortafuegos
Router Interno
1 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
14 6
9
Servidor
Estación Trabajo 56
4 3
Servidor DMZ
13 I n t e r n e t
Servidor DMZ
7 LAN interna
8: Router frontera
1
Usuario Remoto
Servidor 10
Estación Trabajo
Router Cortafuegos Unas listas de acceso (ACL) mal configuradas Interno
12 5
en el cortafuegos o en el router pueden permitir el acceso desde el exterior,14bien directamente, o bien una vez queLAN la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estación Servidor 9 Remota Trabajo Anatomía de ataques informáticos Gabriel Díaz Orueta
57
4 3
Servidor DMZ
Servidor DMZ
7 LAN interna
13 I n t e r n e t
8 Router frontera
Cortafuegos 9:
1
Servidor Acceso Remoto
Usuario Remoto
2
Router Interno
Servidor 10
Estación Trabajo
12 5
14 Software obsoleto, LAN al que no se le han instainterna lado los parches 11 recomendados por el fa6 bricante, vulnerable, o con las configuraciones 11 porOficina defecto, especialmente los servidores Estación Servidor WWW. Remota Trabajo
Anatomía de ataques informáticos Gabriel Díaz Orueta
58
4 3
10:
Servidor DMZ
compartidos en Windows NT, recursos 12 Estación exportados con NFS en Unix. 8 Trabajo 5
13 I n t e r n e t
7
Servidor Servidor LAN Controles de acceso a los ficheros o a los DMZ interna directorios mal configurados (e.g. Recursos
Router frontera
Cortafuegos
Router Interno
1 Servidor Acceso Remoto
Usuario Remoto
2
11 11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
14 6
9
Servidor
Estación Trabajo 59
4 3
Servidor DMZ
Servidor DMZ
7 LAN interna
13 I n t e r n e t
8 Router frontera
1
Usuario Remoto
: 11Cortafuegos
Router Interno
Servidor 10
Estación Trabajo
12 5
14 en Las relaciones de confianza excesivas LAN dominios NT o entradas en .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas ). 2 Sensibles (pilfering Oficina Estación Servidor 9 Remota Trabajo Anatomía de ataques informáticos Gabriel Díaz Orueta
60
4 3
Servidor DMZ
Servidor DMZ 12:
13 I n t e r n e t
7
Los servicios sin control de acceso de Estación 8 como X Windows permiten usuarios, a los5 Trabajo atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno 14
Router frontera
1
Servidor Acceso Remoto
Usuario Remoto
Servidor 10
LAN interna
2
11
11
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
6 9
Servidor
Estación Trabajo 61
4 3 Servidor 13: DMZ
I n t e r n e t
Servidor DMZ
7
Servidor 10
LAN interna
La gestión inadecuada de históricos, la falta de una monitorización adecuada o la falta de servicios de detección de8 intrusiones tanto Router en elRouter nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 Servidor Acceso Remoto
Usuario Remoto
2
11
11
Estación Trabajo
12 5
LAN interna
Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta
6 9
Servidor
Estación Trabajo 62
4 3
Servidor DMZ
Servidor DMZ
7 LAN interna
13 I n t e r n e t
Estación Trabajo
8 Router frontera
14: Cortafuegos
1 Servidor Acceso Remoto
Usuario Remoto
2
Servidor 10
Router Interno
12 5
La falta de políticas de seguridad aceptadas LAN y publicadas, así por todos y bien definidas interna como de los procedimientos, normas y guías 11 de actuación relacionadas. 6 11 Oficina Remota
Anatomía de ataques informáticos Gabriel Díaz Orueta
9
Servidor
Estación Trabajo 63
¿Alguna pregunta?
Gabriel Díaz Orueta, Dpto. Ingeniería Eléctrica Electrónica y de Control http://www.ieec.uned.es Anatomía de ataques informáticos Gabriel Díaz Orueta
64
Bibliografía • • • • • • •
Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004 Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004 Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005 Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003 Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005 Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003
Anatomía de ataques informáticos Gabriel Díaz Orueta
65