270 likes | 463 Views
Auditoría de Redes AUD 721 Módulo 5. Carmen R. Cintrón Ferrer - 2004, Derechos Reservados. Contenido Temático. Tecnología de redes Planificación y evaluación de redes Seguridad y protección de redes Integración de peritos técnicos Proceso de auditoría de redes
E N D
Auditoría de RedesAUD 721Módulo 5 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados
Contenido Temático • Tecnología de redes • Planificación y evaluación de redes • Seguridad y protección de redes • Integración de peritos técnicos • Proceso de auditoría de redes • Informe de auditoría de redes
Tipo de peritos técnicos Áreas a examinar Herramientas disponibles Tipos de análisis o auditoría técnica Ejercicio de Integración Integración de peritos técnicos Quinto módulo
Especialistas en “routers” (Cisco) y “switchs” Especialista en seguridad: “Firewall” “DNS” Análisis de vulnerabilidades Programador de sistemas operativos: Unix/Linux Windows NT/2000 Otros Programador en DBMS Técnico de telecomunicaciones (red voz/datos) Integración de peritos técnicos Tipo de peritos técnicos
Configuración de la red Configuración de Router y Firewall Configuración de servidores y servicios Código malicioso Ataques Terrorismo cibernético “Information warfare” Integración de peritos técnicos Áreas a examinar
Código malicioso: Virus Gusanos Bombas lógicas: código escondido que se ejecuta al ocurrir un evento o una fecha Troyanos: código escondido que parece inofensivo y permite su ejecución dentro de otros programas o procesos “Back doors”: Caminos para acceder la red o sus recursos que utilizan los intrusos Integración de peritos técnicos Áreas a examinar
Tipo de Ataques: Acceso: Intento de acceder información o servicios Modificación:Intento de cambiar información, configuración o controles “Denial of Service”: Denegar acceso o servicios a quien tiene derecho Repudiación: Intento de proveer información falsa o de esconder trámites Integración de peritos técnicos Áreas a Examinar
Ataques de Acceso: “Snooping” “Eavesdropping” Interceptar Ataques de Modificación: Cambiar Insertar Eliminar Ataques de Denegar acceso (“Denial of Service”): Información Aplicaciones Sistemas Medio de comunicación o conexión Ataques de Repudiación: “Masquerading” Denegar un evento Integración de peritos técnicos Áreas a Examinar
Ejemplos de tipos de ataque: Nivel de aplicación: utiliza las debilidades de los sistemas y/o aplicaciones a través de puertos o servicios disponibles “Denial of service (DoS)”: interrumpe o limita la disponibilidad de los recursos o servicios en red “Ping of Death”: envío de paquetes que exceden el tamaño máximo y colman los “buffers” “IP-spoofing”: Cuando el invasor se hace pasar por un usuario válido (valid IP) interno o externo “Passwords”: Intentos de identificar cuentas y claves de usuario válidas para lograr acceso autorizado Redireccionamiento de puertos: permite atravesar el “Firewall” y acceder recurso o servicios en áreas protegidas “Man in the middle”: coloca al intruso entre medio del tráfico para examinarlo, redirigirlo, o controlarlo Integración de peritos técnicos Áreas a Examinar
Ejemplos de tipos de ataque: “TCP SYN flood”: Mientras se establece la conexión entre el cliente y el servidor ésta permanece abierta permitiendo un ataque que sobrepasa la capacidad de manejo de conexiones abiertas al servidor. “Packet sniffers”: se instalan para examinar el tráfico en la red y recoger información sobre IP’s, usuarios y servicios (recursos) “NW reconnaissance”: el examen de la red utilizando programas para recoger datos sobre DNS (servidores y direcciones), PING (direcciones y servicios), Puertos (servicios), características de las aplicaciones instaladas, etc. “Autorooters”: rutinas automáticas para analizar el entorno de la red, sus controles, servicios y aplicaciones “Tribe Network Flood” “Stacheldraht” Integración de peritos técnicos Áreas a Examinar
Terrorismo cibernético: Ataques concertados Secuestro de instalaciones “Information warfare”: Personal Corporativo Global Integración de peritos técnicos Áreas a Examinar
Integración de peritos técnicos Tipos de análisis o auditoría • Auditoría interna periódica: • Revisión de bitácoras (acceso/modificación) • Verificación de versiones e instalación de parchos • Análisis de cumplimiento con políticas y procedimientos • Análisis de vulnerabilidades de sistemas • Análisis de vulnerabilidades de la red • “Penetration test”
Integración de peritos técnicos Tipos de análisis o auditoría • Trust relationships: • rlogin (Unix) • Trojans: • Netbus • Subseven • Host-based intrusion detection: • TCP Wrappers (Unix) • Xinetd • Tripwire • Swatch • Port sentry • Dumpel (Win2K)
Integración de peritos técnicos Tipos de análisis o auditoría (Cont. 2) • Network based intrusion detection: • TCPDump • Nuking (Win 95/98) • Snort • Firewalls: • ZoneAlarm – Leak Test • Tiny – Leak Test • IPChains (Linux) • Scanning tools: • NMap/NMapNT • SuperScan • Nessus • Legion • HPing2
Integración de peritos técnicos Tipos de análisis o auditoría (Cont. 3) • Servidores vulnerables: • “Null Sessions” – HUNT • “DumpSec” – “shares”, RAS Dial-in, Policies • Cambios en Firewall, router (ACL’s) • Descifrar passwords: • John the Ripper • Lopht Crack (LC3) • Imagen de discos: • Ghost • Dd (Linux/UNIX)
Integración de peritos técnicos Tipos de análisis o auditoría (Cont. 4) • Denial of Service attacks (DoS): • floods UDP, SYN packets • ICMP broadcast packets and echo requests • TFN2K & Trinoo • Deception: • Fragrouter
Integración de peritos técnicos Tipos de análisis o auditoría (Cont. 5) • Auditoría de la sede virtual: • BlackWidow • WebSleuth • Whisker (CGI Web Scanner) • Cierre de la sede virtual (“IIS Lockdown”): • Permite al administrador determinar que servicios estarán disponibles • Vulnerabilidad frente uso de Unicode: • Socket80
Integración de peritos técnicos Ejercicio de IntegraciónTomados de SANS GIAC • Configuración de Windows: • Troyanos (Subseven p.49) • Auditar servidor/equipo (Dumpel p.83) • Verificar configuración y seguridad (mmcp. 292) • Análisis del Router (ACL) (p. 245, 249, 253) • Análisis del Web (Whois/BlackWidow/WebSleuth) (p.200,203,209) • Conseguir Claves (John the Ripper) (p. 168) • Vulnerabilidad (Nmap/Nessus) (p.125, 136) • IDS: • Sniffing (TCPDUMP p. 89) • Nukking (Winnuke/Tiny FW p. 94) • Snort (p.99)
EjercicioConfiguración de Windows • Configuración de Windows: • Dumpel (ver archivo) • Dumpreg (ver archivo) • Wininfo • Configuración de seguridad: • Leak Test (Firewall penetration) • Attacker (port scanner) • Control de equipo: • Subseven (troyano) • John the Ripper (password cracker)
EjercicioConexión • Router: (cmd prompt) • Traceroute • Ping (Hping/Fping UNIX) • Ipconfig (rpcinfo UNIX) • Router Audit Tool (RAT) • Web address: • Whois – www.whois.net • www.arin.net • Black Widow – www.softbytelabs.com • Web Inspect -
EjercicioExaminar la red • Vulnerabilidad: • Nmap • Nessus • IDS: • Sniffing - TCPDUMP • Nukking - Winnuke/Tiny FW • Snort
Referencias • GSEC Security Essentials Toolkit, Cole, Newfield & Millican, SANS Press, 2002 • Network Security: A Beginner’s Guide, Maiwald, Eric Osborne/McGraw Hill, 2001 • Data Communications Network Auditing, Griffis, Bruce, Flatiron Publishing, 1996 • Security Planning & Disaster Recovery, Maiwald & Sieglein, McGraw Hill, 2002 • Web Security Portable Reference, Shema, Mike, Osborne-McGraw Hill, 2003 • Security Assessment, Miles, Rogers, Fuller, Hoagberg & Dykstra, Syngress, 2004 • Security Complete, Taylor, Tiffany, Editor, Sybex, 2nd Edition, 2002 • IT Security, Educause, 2004
Referencias • Information Systems Control and Audit, Weber, Ron, Prentice Hall, 1999 • Absolute Beginner’s Guide to networking, 4th Edition, Habraken, Joe, QUE, 2004 • Teach Yourself VISUALLY Networking, 2nd Edition, IDG Books, 2000 • How Networks Work, Derfler & Freed, Ziff Davis Press, 1993 • How to Connect, Shipley, Chris, Ziff Davis Press, 1993 • How the Internet Works, Eddings, Joshua, Ziff Davis Press, 1994 • Handbook of Information Security Management, Ruthberg & Tipton, Auerbach, 1993 • Handbook of Information Security Management, Krause & Tipton, Auerbach, 1999 • Network Security: A hacker’s perspective, Fadia, Premier Press,2003 • Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, 2003-2004 • ISACA CISA Examination Domains