1 / 27

RedIRIS

RedIRIS. Escuela de Ingenieros Industriales Universidad Politécnica de Madrid 20 de Marzo 2000. RedIRIS. Orígenes y Finalidad. Iniciativa del Plan Nacional I+D 1994- : Gestión por parte del CSIC Red del Plan Nacional I+D Servicios telemáticos especializados para I+D

arin
Download Presentation

RedIRIS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RedIRIS Escuela de Ingenieros Industriales Universidad Politécnica de Madrid 20 de Marzo 2000

  2. RedIRIS. Orígenes y Finalidad • Iniciativa del Plan Nacional I+D • 1994- : Gestión por parte del CSIC • Red del Plan Nacional I+D • Servicios telemáticos especializados para I+D • Alta conectividad con centros de investigación nacionales e internacionales • Red experimental de nuevos servicios

  3. RedIRIS. Instituciones afiliadas • Instituciones ejecutoras de I+D (institutos, centros tecnológicos, etc..) • Centros oficiales con grandes recursos de I+D • Universidades • Más de 250 centros afiliados

  4. RedIRIS. Coordinación • Acuerdo de afiliación entre institución y RedIRIS • Persona de contacto (PER) en cada institución • Coordinación de servicios (Red, Correo, CVU, Proxys, etc..) • Reuniones semestrales (Grupos de Trabajo y Jornadas Técnicas)

  5. IRIS-CERT. Funciones (I) • Detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS y actuación coordinada con dichos centros para poner solución a estos problemas • Labor preventiva: avisos de problemas potenciales de seguridad, asesoramiento, organización de actividades y servicios complementarios • Atención de incidentes de seguridad • Enlace con las fuerzas de seguridad del estado • Desarrollo de actividades y pilotos en coordinación con centros afiliados (Piloto de Certificación, Auditoría bajo demanda, correo seguro, ..) • Seguridad a nivel interno

  6. IRIS-CERT. Funciones (II) • Ámbito de actuación: • Instituciones afiliadas (Servicio completo) • Punto de contacto y coordinación de incidentes para toda España. • Participación en foros internacionales: • FIRST (Forum of Incident Response and Security Teams) • CERT-COORD (IRTs/CERTs in Europe)

  7. Incidentes (Enero 1999 - Marzo 2000) • Incidentes totales: 275 • Incidentes de ámbito internacional: 65 (23%) • Incidentes con origen o destino internacional: 219 (79%) • Incidentes que implican a instituciones afiliadas: 247 (89%) • Incidentes por máxima prioridad alcanzada: • Baja: 159 (57.82%) • Normal: 48 (17.45%) • Alta: 68 (24.73%) • Emergencia: 0 (0%) • 118 incidentes de SPAM • Con respecto al mismo periodo en el año anterior • 74 % más de incidentes • Incremento mayor: 257.14% en el mes de Enero del 2000

  8. Incidentes desde Enero de 1999 por prioridad

  9. Incidentes más comunes • Utilización de herramientas automatizadas (mscan, nmap, sscan,..) • Escaneo de puertos e intentos de acceso no autorizado • Empleo de exploit conocido (servicios rpc, imap, pop, ftp, mount, cgi-bin, …) • Mail SPAM • DoS (smurf, UDP DoS, ICMP, DDoS,..) • Utilización sniffer de red

  10. Causas más comunes • SISTEMAS SIN ACTUALIZAR • EQUIPOS SIN ADMINISTRAR • OTROS

  11. Algunas Conclusiones • Continúa la tendencia de incremento de incidentes con respecto a años anteriores • Recuperación rápida ante un incidente de seguridad para evitar su propagación • Existe gran cantidad de incidentes que no se resuelven nunca • Necesidad de implantación de medidas preventivas • 42% de los ataques desde el interior (acceso no autorizado, robo de información propietaria)

  12. Ataques distribuidos

  13. Definiciones • DOS (Denial of Service), denegación de servicio, el ataque tiene como finalidad impedir un servicio. • DDOS(Distributed DOS), denegación de servicio distribuida. • Tipo de DOS. • Saturación (envío masivo de tráfico). ICMP, UDP, TCP. • Empleo de algún fallo en las aplicaciones.

  14. Definiciones • Falsificación de direcciones: SPOOF (el equipo envía paquetes IP con la dirección falsa. • SMURF: Empleo de direcciones especiales (broadcast),para conseguir que todos los equipos de una red respondan a un paquete.

  15. Definiciones • Agente: Programa encargado de realizar la acción (ataque). • Handler, o Proxy: Equipo intermediario, que envía las ordenes a los agentes. • Cliente: equipo del atacante.

  16. Cronología de estos ataques • Primeras evidencias de este tipo de ataques (Diciembre 1999). • Instalación de estas herramientas (y algunas detecciones), Enero 2000 • Ataques “famosos” AOL, E-Bay, etc. Febrero de 2000.

  17. Actuaciones • Detección de tráfico elevado (o aviso desde el exterior). • Localización del equipo implicado. • Limpieza y análisis del ataque.

  18. Vulnerabilidades • Antiguas, públicamente conocidas (statd, DNS, etc.). • Accesos a equipos con alto tráfico (Servidores de DNS, www, correo ) y sin administración. • Instalación en el equipo. • Puertas traseras, (backdoor), para permitir el acceso posterior. • Ocultación del ataque (rootkit) y eliminación de logs. • Herramientas de ataque (otros scanners). • Herramienta de ataque.

  19. Ataque: Búsqueda de equipos Organización Router Organización Router Otr organización

  20. Ataque: Intrusión Organización Router Organización Router Otr organización

  21. Ataque: Inicio Agente Organización Router Organización Router Agente Otr organización Agente Agente Proxy Agente

  22. Ataque: Inicio Agente Organización Router Organización Router Agente Otr organización Agente Agente Proxy Agente

  23. Ataque: Resultado Agente Organización Router Organización Router Agente Otr organización Agente Agente Proxy Agente

  24. Efecto en RedIRIS • Limitaciones de caudal en las conexiones regionales. • Saturación de los enlaces desde el centro afectado. • Filtrado del equipo, para evitar la saturación del tráfico en el nodo. • Escasa repercusión con la conexión internacional.

  25. Soluciones • En los sitios atacados • Limitaciones de tráfico en los accesos • Dimensionamiento adecuado de equipos. • En los proveedores troncales de internet • Fitros para evitar falsificación de direcciones. • En los proveedores de acceso • Registros de conexiones de usuarios. • En las instituciones “atacantes” • Control de seguridad. (ataques antiguos). • Actualización de sistemas. • Coordinación y aviso ante incidentes.

  26. ¿Han acabado ? • Nuevas versiones (p.e. Windows 9x) • Comunicaciones anónimas (correo, chats e IRC). • Nuevos tipos de ataque más específicos. • Redistribución y ejecución real de programas (envío de ficheros de claves, etc.)

  27. Referencias • RedIRIS, http://www.rediris.es • Area de Seguridad en RedIRIS, http://www.rediris.es/cert • Información sobre los ataques distribuidos (ingles) http://packetstorm.securify.com/distributed • CERT/CC http://www.cert.org • Mas información de seguridad, http://www.securityfocus.com

More Related