1 / 34

Consideraciones Forenses y de Seguridad en Enrutadores

Consideraciones Forenses y de Seguridad en Enrutadores. Conceptos, herramientas y prácticas Jeimy J. Cano, Ph.D Universidad de los Andes jcano @uniandes.edu.co. ADVERTENCIA !.

burgess
Download Presentation

Consideraciones Forenses y de Seguridad en Enrutadores

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Consideraciones Forenses y de Seguridad en Enrutadores Conceptos, herramientas y prácticas Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co

  2. ADVERTENCIA ! • Las maneras de vulnerar y atentar contra las seguridad de enrutadores referenciadas en esta presentación son con propósitos ilustrativos y educativos. Por tanto, cualquier uso inadecuado de las mismas no será responsabilidad del Autor. • Las técnicas sugeridas en la presentación aplican a enrutadores CISCO. Es probable que apliquen a otros proveedores. • La presentación busca concientizar a los encargados de la seguridad sobre prácticas de aseguramiento y forenses sobre enrutadores y, de ninguna manera atentar contra el buen nombre de proveedores o compañías.

  3. Agenda • Introducción • Evolución de Vulnerabilidades en CISCO • Elementos básicos de los enrutadores • Ataques Generales a Routers • Ataques Especializados a Routers • Evaluación de Seguridad en Routers • Enrutadores y Arquitecturas de Seguridad • Logging en Routers • Prácticas de Seguridad en Routers • Elementos básicos en Computación Forense • Computación Forense en Routers • Extracción de Información en Routers • Prácticas Forenses en Routers • Conclusiones • Referencias

  4. Introducción • Incremento importante de vulnerabilidades detectadas en enrutadores. • Los enrutadores con frecuencia son tratados como “cajas negras” configuradas. – No las toque!- • Generalmente configurados por default – No existen guìas corporartivas de aseguramiento. • Generalmente no son sometidos a pruebas de penetración y actualización permanente de parches • Frecuentemente no se configura en ellos una estrategia de logging coherente con la estrategia de detección de intrusos. • Ante un incidente de seguridad, generalmente pasan desapercibidos. • Computación Forense en routers? Cómo?

  5. Evolución de Vulnerabilidades en CISCO Tomado de: http://www.securityfocus.com - Vulnerabilidades

  6. Elementos básicos de Enrutadores

  7. Elementos básicos de Enrutadores • Son esencialmente otros computadores. • Particularmente son otros SERVIDORES. • Ofrecen el servicio de enrutamiento. • Poseen Sistema Operacional • Cisco’s Internetwork Operating System – IOS • Utiliza la NVRAM – Non Volatil RAM, donde se encuentra almacenado el archivo de configuración • Se almacena en la Flash Memory • Interpreta las ACL – Access Control List y otros comandos • Tiene un conjunto de comandos para interactuar con el usuario. • Nivel EXEC de Usuario • Show, connect, ping, calendar, etc • Nivel EXEC Privilegiado • Configure, write, erase, debug, setup, etc.

  8. Elementos básicos de Enrutadores Como eventualidad para casos de emergencia Generalmente utilizados para colocar módems. Permite acceso como consola Puerto Auxiliar Puerto de Consola Interfase De REd Módem Módem

  9. Ataques a Enrutadores

  10. Ataques generales a Routers • SNMP Attacks • Mensajes malformados recibidos a los enrutadores resulta en fallas del sistema. • NTP Attacks • Envío paquete malformados NTP, generando buffer overflow en el demonio de NTP • Session Replay Attacks • Secuencia de paquetes o comandos de aplicación que pueden ser manipulados y reenviados para causar una acción no autorizada. • Session Hijacking • Manipulación de Paquetes IP para falsificar direcciones IP, predicción de número de secuencia.

  11. Ataques Especializados a Routers • Manejo de la Memoria en IOS • Memory Process – Heap Memory • IO Memory – Buffer de Comandos Magic Valor estático 0xAB1234CD PID Identificador del Proceso en IOS Alloc Check Zona utilizada para efectuar chequeos integridad de bloques Alloc Name Apuntador al string del nombre del proceso. Alloc PC Código de la dirección que selecciona este bloque. NEXT BLOCK Apuntador al siguiente bloque PREV BLOCK Apuntador al bloque anterior BLOCK SIZE Tamaño del bloque – Marca como en USO REFERENCE # Cantidad de bloques referenciada Last Deallc Última dirección que fue seleccionada DATA Zona de Datos RED ZONE Valor estático 0xFD0110DF

  12. Ataques especializados a Routers • Algoritmo de chequeo: (Tomado de Phrack No.60) • 1) Continúa el bloque con el valor de MAGIC (0xAB1234CD)? • 2) Si el bloque esta en uso, verifique la zona roja está allí y presente el número 0xFD0110DF. • 3) El apuntador al anterior bloque es no nulo? • 4) Si existe apuntador al siguiente bloque, verifique ... • 4.1) Si apunta correctamente después del final de este bloque? • 4.2) Si apuntador de bloque previo del bloque apuntado por este apuntador (apuntador al siguiente), esta direccionado a este bloque? • 5) Si el apuntador al siguiente bloque es nulo, es este bloque el último en el segmento de memoria? • 6) El tamaño del bloque tiene sentido? Es correcto? • Si alguno de estos paso falla: la verificación no resulta exitosa y se efectúa un reinicio del sistema IOS. *** EXCEPTION *** illegal instruction interrupt program counter = 0x20f2a24 status register = 0x2700 vbr at time of exception = 0x4000000

  13. Ataques especializados a Routers • Algunos comandos involucrados este tipo de ataques: • victim#show memory processor allocating-process • Listado de apuntadores y sus bloques • victim#show memory 0x258F998 • Despliega el contenido de la memoria para esta posición particular • Que podemos aprender? • Debemos estudiar en detalle la manera como se asigna, verifica y desasigna la memoria en IOS • IOS es un sistema operacional como cualquier otro, por tanto tiene vulnerabilidades inherentes a su diseño. • Estar atento a las listas de seguridad y los posibles anuncios sobre fallas o vulnerabilidades en cualquiera de los elementos de la red. • Es probable este tipo de ataques en Switches • Los routers requieren aseguramiento como cualquier otro dispositivo de la red!!!

  14. Seguridad en Enrutadores

  15. Evaluación Seguridad en Routers • Router Audit Tool - RAT • Center for Internet Security (CIS) • http://www.cisecurity.org/ • Esta herramienta considera: • Router Security Configuration Guidepublicada por la National Security Agency (NSA) • Desarrolla una evaluación NO INVASIVA de las principales vulnerabilidades presentes en los enrutadores • RAT esta diseñada en Perl y consta de 4 programas: • Snarf – Utilizada para descargar los archivos de configuración del router • Ncat – Utilizado para leer los archivos de configuración y reglas base de la evaluación y generar el archivo de salida • Ncat_report – Crea el HTML de los archivos planos de salida • Ncat_config – Utilizado para efectuar la localización de los archivos de reglas básicas • Licencia de USO - GNU General Public license • Disponible en UNIX, Linux y Windows.

  16. Evaluación Seguridad en Routers • Router Audit Tool - RAT

  17. Enrutadores y arquitecturas de seguridad • Deberían ser la primera línea de defensa de la organización. • Deberían contar con una configuración de control de acceso que defienda en primera línea al FW. • Mantener un registro sincronizado de los eventos más representativos: • Alertas • Condiciones críticas • Mensajes de error • Emergencias • Intento de ingreso de paquete de lugares no autorizados. • Desarrollar una relación de monitoreo y control de tráfico en conjunto con el IDS. • Aseguramiento permanente, como cualquier otro sistema operacional.

  18. Logging en Routers • Los enrutadores CISCO tienen 6 formas de generar logging. • Logging en consola • Conectados directamente al puerto de consola • Logging en Buffer de Memoria • Manteniendo los mensajes de log en la RAM del enrutador. Generalmente es circular. • Logging de Terminal • Utilizando los comandos de terminal, pueden enviar los mensajes de log a las terminales VTY • Syslog • Los enrutadores pueden ser configurados para enviar sus mensajes de log a servidores syslog externos. • SNMP • Si se encuentra habilitado, puede enviar a servidores SNMP externos para registrar condiciones específicas. • AAA Accounting • Si se esta utilizando la arquitectura Authentication, Autorization, Accounting de CISCO, puede enviar el log al Network Access Server.

  19. Logging en Routers • Syslog • Para configurar el logging remoto via esta estrategia • En el enrutador: • router1#config terminal – Ingreso a sección de configuración • Router1(Config) # Logging facility local6 – Identificando por donde se envía la información • Router1(Config) # logging trap errors • Router1(Config) # Logging 172.16.13.1 • Router1(Config) # ^Z • Nota • Si se quiere conocer el tráfico asociado con las reglas o listas de control acceso que tiene configuradas (deny), debe agregar la palabra log al final de la misma • Access-list 101 deny ip 200.200.200.0 0.0.0.255 any log

  20. Logging en Routers • Syslog • Para configurar el logging remoto via esta estrategia • En el servidor destino: • Existe un syslog server en Unix y Linux • En Windows existen implementaciones: • Kiwi Syslog • Winsyslog • Nota: Con estas implementaciones pueden enviar logs a otras máquinas con syslog instalados. Incluso en Unix • Identifique el archivo de syslog: • /etc/syslog.conf • Su formato generalmente es: • Facilidad.severidad logfile • Un ejemplo para la configuración previa: • Local6.errors /var/log/router1 • Mantenga monitoreo del puerto 514 (udp), preferiblemente utilice SSH para mantener una conexión confiable entre el enrutador y el servidor de logging.

  21. Prácticas de Seguridad en Routers • Acceso a la consola con login y contraseña. • Asegurar el acceso al puerto AUX y las VTY con login y contraseña • No configure el enrutador para ser servidor de TFTP • No conecte un módem al puerto de consola • Deshabilite telnet reverso a todos los puertos físicos. • Deshabilite el telnet. • Deshabilite acceso via HTTP • Deshabilite protocolos y servicios innecesarios • Deshabilithe SNMP, si no lo necesita • Genere una estrategia de logging coherente y confiable (conexión cifrada) • Actualice la versión y parches del IOS • Incluya los routers en pruebas de penetración • Genere y actualice guías de hardening. • Mantenga sincronizado la fecha y hora del equipo. • No descuide el aseguramiento fìsico de los equipos y el control de acceso a los mismos. • Efectúe administración remota con mecanismos de cifrado

  22. Computación Forense en Enrutadores

  23. Elementos básicos en Computación Forense • Aseguramiento de la escena del incidente • Identificación y registro de información volátil • Apagado adecuado • Efectuar copia idéntica bit a bit • Desarrollar el análisis sobre una de las copias idénticas • Análsis físico • Partición • Sectores dañados • Datos fuera de la partición • Análisis lógico • Archivos de metadatos • Información de contexto y encabezados • Directorios de archivos • Conjunto • Archivos activos • Sistema de archivos residual (en su estructura) • Archivos eliminados • Generación del informe

  24. Computación Forense en Routers • Aseguramiento de la escena del incidente • Sobre manera el control de acceso físico al dispositivo. • Identificación y registro de información volátil • Es el ejercicio más crítico en la computación forense de enrutadores • Apagado adecuado • No es viable hacerlo, pues se perderían todos los datos disponibles en el enrutador. • Efectuar copia idéntica bit a bit • Extraer toda la información relacionada con la configuración, IOS, ACL, entre otras. • Desarrollar el análisis sobre una de las copias idénticas • Sólo después de extraer la información con el sistema activo y en línea. • Generación del informe

  25. Extracción de Información en Routers • Siempre inicie guardando su sesión de conexión con el enrutador ante de conectarse • Frecuentemente ejecute el comando show clock detail

  26. terminal length 0 dir /all show clock detail show ntp show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interfaces show interfaces show access-lists show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp users show snmp groups show clock detail Exit Extracción de Información en Routers- Evidencia volátil-

  27. Extracción de Información Routers- Datos externos - • Efectuar “scanning” de puertos al router • Ejecutar alguna herramienta de verificación de vulnerabilidades sobre enrutadores. • Verificar y registrar con una autoridad de tiempo confiable. • Imprimir el resultado con el registro de tiempo incluido • Vincule a un testigo para verificar la ejecución de este ejercicio. • Firma y fecha para la impresión de resultados. Firman ambos involucrados • Guarde las copias en lugar seguro y registro clasificado de la diligencia. • NOTA: • Este procedimiento debe ser idéntico para la recolección de evidencia volátil presentado en el aparte anterior.

  28. Extracción de Información Routers- Herramienta automatizada - • Cisco Router Evidence Extractor Disk – CREED • http://cybercrime.kennesaw.edu/creed • CREED está basado en la implementación de linux TomsRtBt, disponible en www.toms.net. • Creada por requerimiento de la Fuerza Aérea, para recolectar información forense de enrutadores CISCO. • La idea es crear un diskette de boot, el cual se coloca en un laptop. • Luego se conecta el portátil desde su puerto serial al puerto de consola del enrutador. • Se reinicia el portátil con el diskette de boot previamente creado. • Se ingresa al enrutador – Se digita “adquire” • Se digita el comando “enable” para ingresar en modo privilegiado. • Inicio de recolección. • El resultado de la ejecución de los comandos se registra en un archivo que queda como resultado en el diskette.

  29. Prácticas Forenses en Routers • Los enrutadores deben mantener una estrategia de logging externo que facilite la correlación de información de un incidente. • Debe existir un registro y control de la actualización del IOS. • La sincronización de tiempo vía NTP es crítica para efectos forenses. • Concientizar a los administradores de redes, de la evidencia que generan los enrutadores. • Es necesario que las guías de atención de incidentes contemplen información generada por los enrutadores.

  30. Conclusiones • Los routers NO SON CAJAS NEGRAS. Requieren aseguramiento equivalente al de cualquier servidor • Es necesario profundizar en el estudio de los sistemas operacionales. Particularmente en IOS: funciones internas, control y administración de memoria, entre otros. • Los Switch también pueden ser vulnerables a ataques semejantes a los vistos en la presentación. • Se requiere establecer una estrategia de Evaluación de Perímetro en Profundidad: Ver RE.D.AR • Es necesario asegurar el cumplimiento de los servicios de seguridad en los enrutadores – A2CAN • Autenticación • Autorización • Control de acceso • Auditabilidad • No repudio

  31. Referencias • Shaughnessy, T y Velte, T. (2000) Manual de Cisco. McGraw Hill. • Prosise, C y Mandia, K. (2001) Incident Response: Investigating Computer Crime. McGraw Hill. • Akin, T. (2002) Hardening Cisco Routers. O’Really. • Kaeo, M. (1999) Designing Network Security. Cisco Press. • Northcutt, S et al (2003) Insider Network Perimeter Security. News Riders • Sedayao, J. (2001) Cisco IOS Access list. O’Really. • Garfinkel, S y Spafford, G. (1996) Practical Unix and Internet Security. Second Edition. O’Really. • Proctor, P y Byrnes, F. (2002) The secured enterprise. Prentice Hall. • SANS (2002) Routers Security: Step by Step. http://www.sansstore.org. • Stuckless, C. (2000) SANS GIAC Firewall and Perimeter protection Practical Assignment. http://www.sans.org/y2k/practical/Colin_Stuckless.doc • Wright, J. (2002) SANS GIAC Incident Handling Red Team Assessment of Parliament Hill Firewall. http://www.giac.org/practical/Joshua_Wright_GCIH.zip • Cisco. (2000) Improving Security on Cisco Routers. http://www.cisco.com/warp/public/707/21.html • Gaius. (2000) Things to do in Cisco Land when you’re dead. Phrack Magazine. No.56. http://www.phrack.org • Graesser, D. (2001) Cisco Router Hardening Step by Step. Sans Institute. Information Security Reading Room. http://rr.sans.org/firewall/router2.php

  32. Referencias • Langley, R. (2001) Securing your internet access router. http://www.sans.org/infosecFAQ/firewall/router.htm • Network Computing (1999) The cost of Security on Cisco Routers. http://www.networkcomputing.com/1004/1004ws22.html • Winters, S. (2000) Top Ten Blocking Recommendations Using Cisco ACL’s securing perimeter with Cisco IOS 12 Routers. http://www.sans.org/infosecFAQ/firewall/blocking_cisco.htm • Antoine, V et al. (2001) Router Security Recommendation Guide. Version 1.0. National Security Agency. http://nsa1.www.conxion.com/cisco/index.html • Antoine, V et al. (2001) NSA Router Security Recommendation Guide: Executive Summary Card. http://nsa1.www.conxion.com/cisco/index.html • Held, G y Hundley, K. (1999) Cisco Security Architectures. McGraw Hill • CISecurity. Router Audit Tool. The Center for Internet Security http://www.cisecurity.org/. • Stewart, B. (2002) Router Audit Tool: Securing Cisco Routers Made Easy. http://www.sans.org/rr/netdevices/cisco_RAT.php • Thomas, R. (2002) Secure IOS Template Version 2.6. http://www.cymru.com/Documents/secure-ios-template.html • Unknown. Improving Security on Cisco Routers, Cisco Systems, Date Unknown.http://www.cisco.com/warp/public/707/21.html • Unknown. Increasing Security on IP Networks, Cisco Systems, Date Unknownhttp://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htm • Cisco Router IOS Memory Maps. Ubicación en el web: http://www.cisco.com/warp/public/112/appB.html

  33. Preguntas, dudas, sugerencias, ....Preocupaciones, Sustos, paranoias!!...

  34. Consideraciones Forenses y de Seguridad en Enrutadores Conceptos, herramientas y prácticas Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co

More Related