1 / 44

Protección de afuera hacia adentro

99% protegido = 100% vulnerable. Protección de afuera hacia adentro. DMZ. FW. IPS. Router. STAGING. FW. DB srvr. SWITCH. LAN. CONCEPTOS VARIOS Mininos privilegios Security Policy Input Validation Documentation Ingeniería social Av,Hardeinig, Patches. IDS/IPS.

theola
Download Presentation

Protección de afuera hacia adentro

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 99% protegido = 100% vulnerable Protección de afuera hacia adentro DMZ FW IPS Router STAGING FW DB srvr SWITCH LAN

  2. CONCEPTOS VARIOS • Mininos privilegios • Security Policy • Input Validation • Documentation • Ingeniería social • Av,Hardeinig, Patches

  3. IDS/IPS http://www.x.com/etc/passwd Internet DMZONE switch DNS APACHI WEB servers Clients

  4. Conceptos básicos de IDS/IPS • “Intrusion detection” es el proceso de monitorizar los eventos que ocurren en la red o en una computadora y analizarlos para detectar intrusiones. • El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos. • Hay dos tipos de IDS: • Host Intrusion Detection Systems (HIDSs) • Network Intrusion Detection Systems (NIDSs)

  5. Host Intrusion Detection Systems (HIDSs) • Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad) • Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor. • Agnete podrá impactar el performance de la maquina sobre la cual esta instalado. • Reporta eventos a una consola central. • La consola tiene una base de datos de firmas de ataques. • En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc

  6. Host Intrusion Detection Systems (HIDS) • Ossec www.ossec.net open source • Tripwire www.tripwire.com open source • SAMHAIN http://la-samhna.de/samhain open source • Osiris http://osiris.shmoo.com open source • Aide http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=13 open source • Symantec Critical System Protection http://www.symantec.com/business/critical-system-protection • IBM Proventia http://www935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097 • McAfee Total Protection for Endpoint http://www.mcafee.com/us/enterprise/products/security_suite_solutions/total_protection_solutions/total_protection_for_endpoint.html • Enterasys Dragon www.enterasys.com/products/ids

  7. Network Intrusion Detection Systems (NIDSs) • El IDS el pasivo, no para los ataques solamente reporta problemas. • en la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red. • Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nic’s en promiscus mode • La Solución de IDS tiene dos componenetos: sensor y Management. • Detecta ataques con firmas (como AV). • Las firmas se actualizan de los servidores del vendor. • Hay ID’s que permiten que uno mismo escriba y agregue firmas. • Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.

  8. Switch(config)# interface fa 0/1 Switch(config-if)# port monitor fastethernet 0/2

  9. Network Intrusion Detection Systems (NIDSs) • El IDS es bueno como sus firmas-si las firmas están escritas mal, el IDS no va a detectar ataques. • Ejemplo de firma (snort): • alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:6;)

  10. Network Intrusion Detection Systems (NIDSs) • Problema: • Que nos ayuda un sistema que solamente reporta problemas y no los para?

  11. Intrusion Prevention Systems (IPS) • Activo- Todo el trafico pasa por el dispositivo. • El Sensor Tiene por lo menos 3 placas de red. • Los Sensores reportan al Management. • Para el ataque antes de llegar al destino.(Reset connection, cambio de rule base en el FW-peligroso!) • Hay 3 tipos de IPS: • Basado en firmas. • Anomalia detection. • Hybrid

  12. Intrusion Prevention Systems (IPS) • IPS puede detectar: • OS, Web and database attacks • Spyware / Malware • Instant Messenger • Peer to Peer (P2P) • Worm propagation • data leakage

  13. Intrusion Prevention Systems (IPS)

  14. Network Intrusion Detection System (NIDSs) • Falsos positivos. • Falsos negativos. • Fine tunning • Administradores deben tener cuidado con las firmas, si lo que se busca en el trafico es demasiado general el IDS va a generar muchos falsos positivos de trafico normal, si lo que se busca es demasiado especifico quizá el IDS no detecte un ataque real.

  15. Reducir falsos positivos con Nessus • Deshabilitar firmas de equipos que no existen en la red. • Escanear la red con Nessus, si Nessus reporta por ejemplo un problema con Telnet Service: • This service is dangerous in the sense that     it is not ciphered - that is, everyone can sniff     the data that passes between the telnet client     and the telnet server. This includes logins and passwords.     You should disable this service and use OpenSSH instead.(www.openssh.com)          Solution : Comment out the 'telnet' line in /etc/inetd.conf.          Risk factor : Low          CVE : CAN-1999-0619 • Habilitar firmas acorde el reporte de Nessus en el IDS/IPS

  16. Vunerability scanner Nessus (www.nessus.org) Escáner de vulnerabilidades YA NO MAS Open Source. Cliente Servidor Interfaz basada en GTK y Java entre otros Realiza más de 16000 pruebas de seguridad remotas. Está basado en plug-in(s). Permite generar reportes html, xml, pdf, ascii, etc.

  17. Anomaly detection • Anomalia basada en IPS para ver los cambios en el tráfico de comportamiento previamente medido como: • Aumento sustancial en el tráfico SMTP salientes Existencia de IRC de comunicaciones. • Nueva puertos abiertos o servicios

  18. Anomaly detection implementación • El primer paso es configurar el IPS en “learning mode” (aprendizaje), cada vez que el IPS detecta nuevo comportamiento el administrador deberá configurarlo “decirle si es normal o no”. • El momento en que el IPS aprendió todo el comportamiento de la red se configura el “blocking mode” ahí el IPS para todo el trafico que no esta en su perfil aprendidó. • Hacer el “fine tuning” de este IPS consume muchas horas. • Error en configuración: backups, corte de electricidad.

  19. IDS Vendors – 2005 Q2 Gartner Magic Quadrant

  20. Problemas con IDS/IPS • IPS basado en firmas- no detecta ataques si no existe la firma. • Firmas incorrectas. • Falsos positivos|negativos • El Fine Tuning toma mucho tiempo| varias empresas lo apagan. • Puede crear latencia en la red especificamente con protocolos Real Time\ VOIP • Single point of failure: • Fail open • Fail Close

  21. HTTPS/SSL

  22. Problemas con IDS/IPS • Caída de paquetes, el IPS no analiza todo el trafico. • Configuración incorrecta- el IDS/IPS no tiene firmas para protocoles usados en la red, no se puede agregar firmas en varios IDS/IPS. • Configuración incorrecta- configurar un ip a las placas de red. • Configuración incorrecta- poner el equipo en blocking mode antes de reducirle los Falsos positivos.

  23. Como atacar bajo el “radar” del IDS/IPS • Crear ataques nuevos| no hay firma contra el ataque. • Mandar Muchos ataques rapidos (nessus). • Stick attack (herramienta) www.eurocomptonnet/stick/projects8.html • Crear un tunnel SSL. • Escaniar lento. (nmap –T) • Fregmentacion: (ejemplo Code red) • Packet A: GET /scripts/root • Packet B:t.exe / • Packet C:c+dir • Servidor destino despues de reassembled: • GET /scripts/root.exe /c+dir • Herramienta: Fragrouter (www.monkey.org/~dugsong/fragroute/) • ADMutate

  24. Como atacar bajo el “radar” del IDS/IPS • Port scanners – • la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3 intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada continumente. Tool-MingSweeper. • Encoding - • GET /cgi-bin/ HTTP/1.0 • Es lo mismo como: • GET /%63%67%69%2d%62%69%6e/ HTTP/1.0 • //////// - • GET /etc/ passwd /tmp/attackinfo • Es lo mismo como: • GET ///////////etc/passwd /tmp/attackinfo

  25. como atacar bajo el “radar” del IDS/IPS • /./././ – • Todo el mundo sabe que. / es en este directorio, de forma que: • /././cgibin/testcgi • Es como: • /cgibin/testcgi • \cgibin\testcgi • \cgibin\testcgi • Es lo mismo como: • /cgibin/testcgi • No funsina con IIS

  26. IDS/IPS Snort (www.snort.org) Sistema de Detección de Intrusos de red basado en firmas. Snort es un producto con licenciamiento GPL. Administración centralizada. Excelente performance. Uno puede agregar firmas. Integración con bases de datos y sistemas Syslog.

  27. Open Source In-Line IDS/IPS: Hogwash http://hogwash.sourceforge.net/oldindex.html

  28. SIM: Security information Managment • Senario: • Al mismo tiempo alguien esta escaneando puertos abiertos en el Router externo y alguien esta tratando de loguiar varias veces sin éxito al servidor de finanzas… • Como nosotros sabemos de los dos eventos y cual evento necesita primero nuestra atención?

  29. SIM: Security information Managment OSSIM www.ossim.net

  30. OSSIM www.ossim.net

  31. SIM: Security information Managment OSSIM www.ossim.net ArcSight www.arcsight.com Novell Sentinal www.novell.com/products/sentinel/

  32. Enfoque penetration tester. Metodología de Penetration Test. Ethical Hacking

  33. Simulación externa de un ataque para verificar la seguridad de la red así como para encontrar vulnerabilidades. Obtención de evidencias concretas. Obtención de algún tipo de archivo de los servidores o redes Sembrado de pruebas en los servidores Captura de paquetes, limitación del servicio del recurso, etc. Objetivo Ethical Hacking

  34. El Hacker termina cuando rompe la seguridad del sistema (suficiente con una vulnerabilidad). Su tiempo para realizar un ataque es infinito. Diferencias

  35. El trabajo del “penetrator tester” termina cuando encuentra todas las vulnerabilidades del sistema tanto en el Gateway como en el firewall o como en cualquier componente de la red que está analizando. Además tiene tiempo limitado para realizar el test. Elaboración de informe de seguridad y documentación así como soluciones a los problemas encontrados. Diferencias

  36. White box: Proporcionar al penetration tester la información necesaria para hacer el testeo de seguridad. Black box: sólo posee información del nombre de la empresa. Los 2 ambientes básicos

  37. ¿Por qué hacer un Penetration Test? • Encontrar máquinas mal configuradas que el cliente no había notado. • Verificar que sus mecanismos de seguridad funcionen. • Estar tranquilo. • Recuerde 99.9% seguro = 100% ¡vulnerable!

  38. Entender las limitaciones Point-in-time snapshot Nunca puede ser considerado 100% amplio Restringido por tiempo y recursos Definiendo el Test

  39. La primera regla :“No dañar” Reglas de compromiso

  40. Los reportes deben... No deben tener falsos positivos Resultados que establezcan prioridades Secciones técnica y ejecutiva por separado Establecer qué recursos son necesarios Recomendaciones para el mundo real Reporte

  41. OSSTMM – Open-Source Security Testing Methodology Manual Version 2.0 at www.osstmm.org (redirects to http://www.isecom.org/projects/osstmm.htm) Desarrollado por Pete Herzog, es un documento vívido sobre cómo hacer un penetration test. Define como proceder en un pentest, pero no habla sobre las herramientas actuales. OSSTMM

  42. Recoger Información Scan direcciones IP Evaluar la información Explotar servicios vulnerables Elevar el acceso Repetir Técnica – Penetration Testing

More Related