430 likes | 605 Views
Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y c onsideraciones de seguridad para cada componente. Conceptos preliminares de Protocolos. Secuencia de apertura TCP/IP Conocida como comunicación de 3 vías. Host A. Host B.
E N D
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente
Conceptos preliminares de Protocolos • Secuencia de apertura TCP/IP • Conocida como comunicación de 3 vías Host A Host B Envía SYN (seq=x) Recibe SYN (seq=x) Envia SYN (seq=y, ack=x+1) Recibe SYN (seq=y, ack=x+1) Envía ACK (ack=y+1) Recibe ACK (ack=y+1)
Componentes de una Red: vulnerabilidades y seguridad • Hubs • Concentradores de red • Red bus – estrella • Todo el tráfico para cada estación es enviado a todos • Reproduce mucho tráfico. • Inseguro, cada PC conectado puede ver tráfico que no le corresponde con el uso de un sniffer.
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • Switch • Concentrador de red “inteligente” • Almacena el Mac Adress de cada estación • El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • Port Security • Problema : • Cada dispositivo que se agrega a la red va ha recibir una dirección IP. • Solución: • Restringir acceso por mac address. • Es buena solución para redes que son relativamente estáticas. Eso no deja que un hacker desconecte una máquina permitida en la red y conecte su laptop. • Es crítico al nivel del core switch, porque en esa zona no tiene que abrir • Mucho movimiento de dispositivos.
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente Configuración: El switch aprende el primer mac address que ve en el port. Entonces se puede asignar automáticamente: Core1> (enable) set port security 2/23 enable Port 2/23 port security enabled with the learned mac address. También se puede agregar un mac address diferente: Core1>(enable)set port security 2/20 enable xx-xx-xx-xx-xx-xx Port 2/20 port security enabled with xx-xx-xx-xx-xx-xx as the secure mac address.
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente Configuración: Switch)# config t Switch(config)# int fa0/18 Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode Switch(config-if)# switchport port-security Switch(config-if)#^Z
Arp Spoofing 192.168.1.1 192.168.1.138 192.168.1.10
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • Backtrack, Live CD www.offensive-security.com • Dsniff • Macof
Protección • Usar Port Security • Configurar tabla de arp local • PromiScan: www.securityfriday.com/products/promiscan.html • Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • VLAN • Reduce Brodcasts/manejo preferible de ancho de banda en el LAN. • Agrupa puertos lógicamante/ por departamento. • Controla distribution de virueses/trojanos dentro del LAN. • Crear por lo menos un VLAN para los usuarios y otro para servidores. • Cuando un usuario se cambia de departamento, es suficiente con cambiar el Vlan en el switch y no mover el usuario físicamenete. • Para pasar tráfico de Vlan a Vlan es necesario un switch L3. • Red mas segura. • VLAN PRIVADO
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente VLAN
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • Switch • Concentrador de red “inteligente” • Almacena el Mac Adress de cada estación • El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255 • Router • Permite unir dos diferentes redes Algunos permiten filtrar el contenido • El Router siempre es la primera línea de defansa de la red ( Seguridad en profundidad( • El router de perímetro es el punto de contacto entre la WAN y la red corporativa, pudiendo ser la primer barrera de protección. • Deben configurarse todas la opciones de seguridad brindadas por el dispositivo, contribuyendo así al concepto de seguridad en profundidad • En muchos casos, el router es provisto y administrado por el proveedor.
172.16.200.1 10.1.1.1 E0 E1 172.16.3.10 10.250.8.11 10.180.30.118 172.16.12.12 10.6.24.2 172.16.2.1 Tabla de routing Red Interface 172.16 . 12.12 Red Host 172.16.0.0 E0 10.0.0.0 E1 • Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • Switch • Concentrador de red “inteligente” • Almacena el Mac Adress de cada estación • El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255 Router
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • ¿Qué significa un proceso de Hardening para un • Router? • Control de acceso. • Eliminar tráfico no necesario. • Reducir los vectores de ataque
Metodología • Protection de los passwords • Configurar diferentes niveles de privilegios • Limitar accesso remoto • Configurar banners • Configurar SNMP • Configurar logging y NTP • Configuraranti-spoofing • Mitigar Denial of Service attacks • Verificar la configuración
Banners • banner login • banner motd ^C • banner motd ^C • ************************************************************* • !! Sólo se permite entrar a usuarios autorizados. El acceso no autorizado es penado por la ley!! • Esta es una red privada y debe ser usada sólo con el permiso directo de su propietario(s). El propietario se reserva el derecho de monitorear el uso de esta red para asegurarse de la seguridad de la red y responder a alegatos específicos de uso inapropiado. El uso de esta network debería constituir consentimiento para ser monitoreada para estos y otros propósitos. Además, el propietario se reserva el derecho de consentir un refuerzo legal válido requerido para buscar en la red evidencia de un crimen de robo en esta red.************************************************************* • ^C
Servicios no necesarios: • no cdp run (tener cuidado) • no boot network ( comando viejo) • no service config • no ip source-route • no service finger (comando viejo) • no ip finger • no ip identd • no service pad • no service tcp-small-servers • no service udp-small-servers • no ip bootp server • no tftp-server
Acess List (ACL) Number | Traffic | Destination IP | Source IP | Action Block rangos ips privados access-list 110 deny ip 192.168.0.0 0.0.255.255 any log-input access-list 110 deny ip 10.0.0.0 0.255.255.255 any log-input access-list 110 deny ip 172.16.0.0 0.15.255.255 any log-input Block Ping access-list 110 deny icmp any any redirect log-input Para no cargar tanto el CPU del Router access-list 110 permit tcp any any established
Limitar Acesso al router Telnet Ssh e HTML IOS desde version 12.0.5 soporta SSH Abilitar SSH: gw1(config)#ip domain-name example.com gw1#crypto key generate rsa gw1#config t Enter configuration commands, one per line. End with CNTL/Z. gw1(config)#ip ssh gw1(config)#ip ssh timeout 60 gw1(config)#ip ssh authentication-retries 3 Desabilitar Telent: gw1(config)#transport input ssh
Limitar Acesso al router Telnet Ssh e HTML Desabilitar Web server en el router: gw1(config)#no ip http server
Cambiar default password. • Autenticar por Radius+AD. • Configurar Accout luckput para evitar ataques de Fuerza bruta.
TCP Intercept • Syn Flood Protection para los servidores • Dos Modos • Watch – fija y termina sesiones incompletas. • Intercept – Trata de completar conectarse con el cliente por el servidor. Si tiene éxito, crea una conexión directa del cliente al servidor ,si no puede, cierra la conexión.
ASS-Autonomous System Scanner ASS-Autonomous System Scanner • Es una herramienta en la Internetwork Routing Protocol • Attack Suite (IRPAS) que desenvuelve colecciones de protocolos de routing activas y pasivas. • Información. Soporta un amplio número de protocolos de routing y puede proveer información muy útil. • Informació en los protocolos, tal como la siguiente: • ■ Cisco Discovery Protocol (CDP) • ■ ICMP Router Discovery Protocol (IRDP) • ■ Interior Gateway Routing Protocol (IGRP) and Enhanced Interior Gateway • Routing Protocol (EIGRP) • ■ Routing Information Protocol versions 1 and 2 • ■ Open Shortest Path First (OSPF) • ■ Hot Standby Routing Protocol (HSRP) • ■ Dynamic Host Confi guration Protocol (DHCP) • ■ ICMP
Cisco Torch Incluido en el BackTrack CD, Cisco Torch es un Perl script que tiene varias funciones que pueden ser útiles para el penetration tester concentrándose en Cisco devices. Es capaz de identificar servicios corriendo en Cisco devices, tales como SSH, Telnet, HTTP, Trivial File Transfer Protocol (TFTP), Network Time Protocol (NTP), y SNMP. Después de identificar los servicios, puede conducir ataques de fuerza bruta a los passwords y puede aún hacer download del archivo de configuración si el leer/escribir community string ha sido encontrado.
Finger Service Si el servicio Finger está abilitado en un router, es posible interrogar al servicio para determinar quién está logiado en el equipo. Una vez que un nombre de usuario válido ha sido descubierto, el penetration tester puede empezar un ataque de fuerza bruta que adivine passwords si un servicio tal como Telnet está corriendo.
Hydra Es un tool para ataque de fuerza bruta que soporta la mayoría de los protocolos de login de la network, incluyendo aquellos que corren en redes como estas: Telnet,HTTP, HTTPS.SNMP,Cisco Enable
Cisco Global Exploiter El Cisco Global Exploiter (cge.pl) es un Perl script que provee una interface común a 10 diferentes vulnerabilidades de Cisco, incluyendo varios denial of service (DoS) exploits.
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente HTTP Configuration Arbitrary Administrative Access Vulnerability http://10.0.1.252/level/99/exec/show/config
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente HTTP Configuration Arbitrary Administrative Access Vulnerability http://10.0.1.252/level/99/exec/show/config
Principales Componentes de Communications • Principales Riesgos y Vulnerabilidades de las redes • Vulnerabilidades y consideraciones de seguridad para cada componente • http://www.boson.com • Clear Text enable password • Vigenere enable password 7 104B0718071B17 • MD5 enable secret 5 $1$yOMG$38ZIcsEmMaIjsCyQM6hya0
Verificar configuración Verifica la configuraciónn segura del router antes de que el hacker lo verifique. Herramientas: En backtrack: • Cisco global exploiter • Cisco torch • Cisco auditing tool • Cisco scanner • Nessus • Snmp brute
links • www.nsa.gov • http://www.atomicgears.com/papers/bastionios.html • Auditing tool: www.cisecurity.com • ACLs: http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ae127.html#1109098
CONSULTAS Juan Babi CISSP, MCSE, CCNA, SCSA, CCSA juanb@tobesecurity.com www.tobesecurity.com