FSI 2011 Redes Parte1

Fundamentos de la Seguridad Informtica
Seguridad en Redes (parte 1)
GSI - Facultad de Ingeniera - 2011
Introduccin
Las redes conectan computadoras. Que problemas se presentan ? Mayor interaccin es posible, a costa de interacciones no deseadas Veremos los retos y problemas especficos de las redes, y como contribuye y depende de la seguridad de las computadoras En particular hablaremos de redes TCP/IP (Internet)
FSI 2011 Seguridad en Redes (parte 1) 2
26/04/2011
Plan
Conceptos bsicos redes TCP/IP Problemas de seguridad en redes TCP/IP Seguridad IP (IPSec) Redes privadas virtuales (VPN) Virtual LAN (VLAN) Firewalls Sistemas de deteccin de intrusos (IDS)
26/04/2011
Conceptos Bsicos de redes TCP/IP
GSI - Facultad de Ingeniera 2011
Redes de datos TCP/IP
Pequeas o grandes, su objetivo es llevar informacin de un computador a otro La mayor red de datos pblica, Internet, funciona sobre protocolos e ideas de hace 30 aos. Para simplificar su estudio, las redes se modelan separando su funcionalidad en capas Nos basaremos en el modelo OSI modificado para adaptarse a la arquitectura de TCP/IP
26/04/2011
Internet
Internet es el resultado de la interconexin de mltiples redes de computadoras que utilizan un mismo conjunto de protocolos Utiliza la tecnologa de conmutacin de paquetes (unidades de datos con un formato definido)
26/04/2011
FSI 2011 Seguridad en Redes (parte 1)
Modelo de capas
Se utiliza un modelo organizado en capas para el diseo y anlisis de las redes de datos Se trata de atacar el problema complejo mediante la divisin en problemas de menor complejidad Cada capa debe resolver un problema especfico y dar servicios a las capas superiores
26/04/2011
Modelo de capas en Internet

A p l ic a c i n T ra n s p o rte Red E n la c e F s i c a Red E n la c e F s ic a p r o t o c o lo s
m e n s a je s s e g m e n to s p a q u e te s tr a m a s B its y b y te s
A p l ic a c i n T ra n s p o rte Red E n la c e F s ic a Red E n la c e F s ic a
m e d io s f s i c o s M q u in a A
26/04/2011
E q u ip o s in t e r m e d i o s
M q u in a B
8
Funciones principales
Aplicacin (http, ftp, ssh, telnet, pop3, imap, ...)

Clientes y servidores de aplicaciones concretas Ej: transferencia de archivos, correo electrnico, navegacin... Comunicacin de datos entre cliente y servidor Diferentes tipos de servicio y calidades Encaminamiento de paquetes a travs de la red para alcanzar el destino
Transporte (tcp, udp)

Red (ip)
26/04/2011
Funciones principales (cont.)
Enlace de datos (ethernet, ppp, hdlc, ...)
Transmisin de datos entre equipos directamente conectados. Ej: Ethernet, PPP, HDLC. Tambin se pueden considerar ATM, FrameRelay cuando se usan como redes de transporte de IP Transmisin de datos en cada medio fsico particular
Fsica (par telefnico, fibra ptica, coaxial, wireless)
26/04/2011
10
Ejemplo: Navegacin
En mi navegador escribo:
http://www.antel.com.uy
Se despliega en mi pantalla un conjunto de textos, imgenes, animaciones Qu funciones son necesarias para que esto funcione?
26/04/2011
11
Ejemplo: Navegacin
Los usuarios se manejan mejor con nombres (www.antel.com.uy), pero las computadoras no Hay que transformar esa etiqueta en una direccin de mquina. Protocolo de capa de aplicacin: DNS Para intercambiar informacin entre el cliente y el servidor necesito un protocolo de capa de transporte: TCP en el ejemplo Para transportar los paquetes a travs de la red uso el protocolo de capa de red: IP En las capas inferiores depende de la tecnologa de conexin a la red en cada extremo
26/04/2011
Capa de aplicacin
Mltiples protocolos: smtp, pop3, imap, http, https, ftp, etc.
Vulnerabilidades en protocolos e implementaciones Servicio de capa de aplicacin usado por las dems aplicaciones Se implementa como una base de datos distribuida a nivel mundial Opera con un mecanismo de consultas y respuestas Es un servicio crtico para el usuario de Internet
Servicio DNS: Domain Name system
26/04/2011
13
Capa de transporte
En Internet, 2 protocolos:
TCP: Orientado a conexin, confiable
Garantiza un flujo confiable de informacin entre dos entidades Usado por http, ftp, correo electrnico, etc. Usado por DNS, VoIP, ....
UDP: No orientado a conexin, no confiable
26/04/2011
14
Encabezado TCP
P u e r to d e o r ig e n P u e r to d e d e s tin o N m e r o d e s e c u e n c ia N m e r o d e r e c o n o c i m ie n to Hea der le n g t h U C he cks u m O p c i o n e s ( o p c i o n a l) A P R S F W in d o w s i z e U r g e n t P o in te r
D a t o s ( o p c i o n a l)
3 2 b its
26/04/2011 FSI 2011 Seguridad en Redes (parte 1) 15
Establecimiento de conexin en TCP

Originador Destinatario Solicitud de conexin Bandera SYN = 1 Bandera ACK = 0 Secuencia = x Respuesta Bandera SYN = 1 Bandera ACK = 1 Secuencia = y Reconocimiento = x + 1 Confirmacin Bandera SYN = 0 Bandera ACK = 1 Secuencia = x + 1 Reconocimiento = y + 1 En este punto el originador da por establecida la conexin En este punto el destinatario da por establecida la conexin FSI 2011 Seguridad en Redes (parte 1)
26/04/2011
16
Algunos problemas de TCP
Por cada conexin establecida o en proceso de establecerse el equipo consume recursos
Ataques de negacin de servicio (SYN Flooding)
Si el nmero de secuencia es predecible, podra establecer una conexin ciega o insertar datos en otra conexin
Session Hijacking
26/04/2011
17
UDP
Muy sencillo. Bsicamente puertos origen y destino No ofrece garantas de entrega en destino No tenemos ningn campo que nos permita reconocer una solicitud vlida de una invlida
Muy fcil realizar solicitudes a nombre de otro
26/04/2011
18
Capa de Red. IP
Arquitectura de datagramas Cada datagrama contiene en su encabezado la direccin del destino Es un servicio mejor esfuerzo. No hay garanta de entrega, ni de retardos, ni de orden La decisin de enrutamiento se realiza paquete a paquete en base a direccin de destino La red no mantiene informacin de estado de los flujos de paquetes que circulan por ella
26/04/2011
Encaminamiento de datagramas (forwarding function)

Destino B C . prximo salto R2 R5 Destino B . prximo salto R4 Destino B . prximo salto R6
R4 R2 R3 R1 A R6 R5
Destino B . prximo salto -20
Paquete originado por A y destinado a B 26/04/2011
Direcciones IP
Identificador nico en la red En IP versin 4: 32 bits (164.73.38.2) En IP versin 6: 128 bits (2001:1328:6::5) Asignadas por Registros de Internet
Hay rangos de direcciones para uso privado
Cada paquete lleva direccin de origen y destino Tpicamente se puede enviar paquetes con cualquier direccin de origen
26/04/2011
Enrutamiento
Cada enrutador en el camino de origen a destino debe conocer como llegar al destino Rutas estticas: configuradas manualmente Rutas dinmicas: protocolos de ruteo Los enrutadores e informacin de ruteo son targets atractivos para un atacante

Negacin de servicio Redireccin de trfico
No hay indicacin del origen real del paquete

26/04/2011
Problemas de Seguridad en Redes TCP/IP
GSI - Facultad de Ingeniera - 2011
Capa 3 en internet
IPv4 e IPv6 Muy similares en sus caractersticas de seguridad IPSec es obligatorio (de implementar) en IPv6 Servicio de datagramas. No hay garantas de entrega/duplicados/retardos. No hay garantas de origen

Cualquier equipo puede enviar un paquete con IP de origen arbitraria Algunos proveedores filtran, otros no
26/04/2011
IP
Salvo en ambientes muy controlados, no puede garantizarse la relacin IP <-> mquina
En Internet, ni siquiera IP <-> empresa
Es muy difcil rastrear un ataque proveniente de Internet con direcciones origen modificadas
26/04/2011
25
Interaccin de IP y la capa MAC
ARP - Mapeo de direccin de capa 3 a direccin de capa MAC Protocolo muy sencillo.
A enva consulta por Broadcast pidiendo MAC correspondiente a la IP B B responde
Cualquiera puede responder Idea: modificar el mapeo en cache

26/04/2011
ARP spoofing
La mayora de los sistemas aceptan respuestas a preguntas que no hicieron, o actualizan su cache ante un pedido Si lo refresco suficientemente seguido, no har un nuevo pedido broadcast Permite ataques Man In The Middle, escuchas, Negacin de servicio, etc. Es lo que se utiliz en el primer laboratorio
26/04/2011
ARP Spoofing Soluciones
Configuracin de entradas ARP estticas Separacin de redes crticas Monitoreo de cambios en las entradas de ARP Encriptacin en capas superiores Algunos equipos, al recibir un ARP donde cambia un mapeo existente IP-MAC, mandan una consulta ARP a la vieja MAC. Solo funciona si la entrada an est en cache
26/04/2011
Otros problemas en capa 3
Ataques a los protocolos de ruteo
Si puedo modificar la informacin de ruteo, puedo reencaminar trfico importante por donde no debe Es comn que los protocolos de ruteo interno se ejecuten sin medidas de seguridad (aunque estas estn disponibles) En ruteo externo (BGP), el mayor peligro son publicaciones a travs de proveedores que no filtren adecuadamente a sus clientes
Ataques con paquetes de control (ICMP)

26/04/2011
Capa 4 en internet
UDP (servicio de datagrama): junto con IP, muy fcil hacer spoofing de solicitudes (ej. DNS) Muy difcil distinguir solicitudes vlidas de invlidas. No hay estado en las solicitudes
26/04/2011
30
TCP
Orientado a conexin, confiable
Nmero de secuencia para detectar segmentos duplicados, faltantes, reordenados, fuera de secuencia Suma de comprobacin para detectar errores de transmisin No sirve para detectar modificacin maliciosa
Establecimiento de conexin de 3 vas
26/04/2011
31

Originador Destinatario Solicitud de conexin Bandera SYN = 1 Bandera ACK = 0 Secuencia = x Respuesta Bandera SYN = 1 Bandera ACK = 1 Secuencia = y Reconocimiento = x + 1 Confirmacin Bandera SYN = 0 Bandera ACK = 1 Secuencia = x + 1 Reconocimiento = y + 1
26/04/2011
32
Si yo quiero insertar datos en una conexin, debo conocer:

puertos origen y destino IP origen y destino Nmeros de secuencia dentro de la ventana del receptor
Idem para establecer una conexin a ciegas El nmero de secuencia inicial se elije aleatoriamente, no solo en base a un reloj como se hizo inicialmente
26/04/2011
TCP Session Hijacking

Atacante Destinatario Solicitud de conexin Bandera SYN = 1 Bandera ACK = 0 Secuencia = x Origen = A Respuesta Bandera SYN = 1 Bandera ACK = 1 Secuencia = y Reconocimiento = x + 1 Destino = A Confirmacin Bandera SYN = 0 Bandera ACK = 1 Secuencia = x + 1 Reconocimiento = y + 1 Origen = A Si puede inferir el nmero de sec. y, entonces puede enviar datos
26/04/2011 FSI 2011 Seguridad en Redes (parte 1) 34
Algunas debilidades
Por cada conexin, se debe guardar estado (incluso antes de completarse)
Syn flood: inundacin de paquetes de establecimiento de conexin. Se ocupan recursos en conexiones que nunca se terminarn de establecer. Hay paliativos Llenado de la tabla de conexiones establecidas
Ataques con TCP reset (DOS) Ataques con ICMP unreachable Ataques con ICMP must-fragment
26/04/2011
35
Capa de aplicacin
Donde se encuentran los servicios que le interesan al usuario Miles de potenciales servicios
Muchos de ellos sin ninguna consideracin por la seguridad en su diseo Otros mal implementados
Algunos servicios se consideran parte de la infraestructura
DNS
26/04/2011
Capa de aplicacin
Para conectarse a un determinado servicio, se utiliza el puerto de capa de transporte del mismo
Servicios bien conocidos. Ejemplos: http(80), smtp(25), pop3(110), ntp(123), dns (53), etc. Otros. Pueden tener puertos fijos o algn servicio de directorio
Portscan: bsqueda de servicios abiertos en una direccin o rango de direcciones
Intento de conexin a muchos puertos

26/04/2011
DNS
Resolucin de nombres Sistema distribuido
Zonas de autoridad, con sus servidores autoritativos Servidores recursivos que guardan cache
Las consultas utilizan UDP 13 servidores raiz (13 direcciones IP), necesarios para comenzar cualquier bsqueda
26/04/2011
Por qu es crtico
Si no funciona, la mayora de los servicios seran inalcanzables por la mayora de los usuarios Si se modifican datos maliciosamente, se puede redirigir trfico de un sitio legtimo o negar servicio
Phishing y otros ataques
26/04/2011
39
Problemas del DNS
Bugs de seguridad en los servidores antiguos (BIND y otros) Cache corruption: ante una pregunta, el servidor devuelve datos relevantes para otra consulta, falsos. Versiones viejas de servidores recursivos caan en esta trampa No hay ninguna autenticacin de las respuestas Bugs en los clientes
Aceptar respuestas a consultas que no se hicieron

26/04/2011
Problemas del DNS
Puede brindar informacin sobre los servicios brindados externamente (e internamente si los ponemos en el DNS)
Es comn utilizar split dns (visiones distintas segn desde donde o a qu servidor consultemos)
Separar servidores internos (recursivos) de los externos, para evitar intentos de cache poisoning desde afuera Problemas de seguridad en los registros de nombres de dominio
26/04/2011
Otras aplicaciones
Cualquier aplicacin accesible a travs de una red es susceptible de ser atacada si tiene bugs en su implementacin Histricamente, la cantidad de bugs de seguridad en servidores de todo tipo es alta A veces nos olvidamos que, por ejemplo, una impresora con conexin de red es tan vulnerable como nuestros servidores Algunos ejemplos se vern la semana que viene
26/04/2011
Ataque comunes en redes
Pruebas y escaneos: intentos de obtener informacin de sistemas remotos. Tpicamente como precursores de futuros ataques Envo de paquetes que exploten vulnerabilidades en las implementaciones de los protocolos o las aplicaciones Captura de paquetes (packet sniffing) capturar paquetes que pasan por la red y obtener informacin sensible
26/04/2011
Ms tipos de ataque
Negacin de servicio (denial of service) generar peticiones que carguen excesivamente o hagan colapsar un equipo o enlace Spoofing hacerse pasar por otra mquina (u otro usuario)
26/04/2011
44
Portscans
Tpicamente ataque de reconocimiento Bsqueda de servicios disponibles Deteccin de versiones Fingerprint del Sistema Operativo, parches
26/04/2011
45
Ataques de negacin de servicios
Hemos visto que pueden ser causados por problemas en varias capas

ARP spoofing Ataques a los protocolos de ruteo Llenado de tablas de informacin de conexiones Modificacin de entradas en el DNS
26/04/2011
46
Bibliografa y referencias
A. Tanenbaum. Redes de Computadoras. 4Ta ed. Prentice Hall, 2003. R. Anderson, Security Engineering A Guide to Building Dependable Distributed Systems, Wiley, 2001. D. Gollman, Computer Security, Wiley, 2006.
26/04/2011
47

FSI 2011 Redes Parte1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FSI 2011 Redes Parte1

Cargado por

Copyright:

Formatos disponibles

Fundamentos de la Seguridad Informtica

Seguridad en Redes (parte 1)

GSI - Facultad de Ingeniera - 2011

Conceptos Bsicos de redes TCP/IP

GSI - Facultad de Ingeniera 2011

Redes de datos TCP/IP

FSI 2011 Seguridad en Redes (parte 1)

Modelo de capas en Internet

A p l ic a c i n T ra n s p o rte Red E n la c e F s ic a Red E n la c e F s ic a

Aplicacin (http, ftp, ssh, telnet, pop3, imap, ...)

Transporte (tcp, udp)

Funciones principales (cont.)

Enlace de datos (ethernet, ppp, hdlc, ...)

Fsica (par telefnico, fibra ptica, coaxial, wireless)

FSI 2011 Seguridad en Redes (parte 1)

FSI 2011 Seguridad en Redes (parte 1)

Mltiples protocolos: smtp, pop3, imap, http, https, ftp, etc.

Servicio DNS: Domain Name system

FSI 2011 Seguridad en Redes (parte 1)

TCP: Orientado a conexin, confiable

UDP: No orientado a conexin, no confiable

FSI 2011 Seguridad en Redes (parte 1)

Establecimiento de conexin en TCP

Algunos problemas de TCP

Por cada conexin establecida o en proceso de establecerse el equipo consume recursos

Ataques de negacin de servicio (SYN Flooding)

FSI 2011 Seguridad en Redes (parte 1)

Muy fcil realizar solicitudes a nombre de otro

FSI 2011 Seguridad en Redes (parte 1)

Encaminamiento de datagramas (forwarding function)

Paquete originado por A y destinado a B 26/04/2011

FSI 2011 Seguridad en Redes (parte 1)

Hay rangos de direcciones para uso privado

Negacin de servicio Redireccin de trfico

No hay indicacin del origen real del paquete

Problemas de Seguridad en Redes TCP/IP

GSI - Facultad de Ingeniera - 2011

Salvo en ambientes muy controlados, no puede garantizarse la relacin IP <-> mquina

En Internet, ni siquiera IP <-> empresa

FSI 2011 Seguridad en Redes (parte 1)

Interaccin de IP y la capa MAC

A enva consulta por Broadcast pidiendo MAC correspondiente a la IP B B responde

Cualquiera puede responder Idea: modificar el mapeo en cache

ARP Spoofing Soluciones

Otros problemas en capa 3

Ataques a los protocolos de ruteo

Ataques con paquetes de control (ICMP)

FSI 2011 Seguridad en Redes (parte 1)

Orientado a conexin, confiable

Establecimiento de conexin de 3 vas

FSI 2011 Seguridad en Redes (parte 1)

Establecimiento de conexin en TCP

FSI 2011 Seguridad en Redes (parte 1)

Establecimiento de conexin en TCP

Si yo quiero insertar datos en una conexin, debo conocer:

TCP Session Hijacking

Por cada conexin, se debe guardar estado (incluso antes de completarse)

FSI 2011 Seguridad en Redes (parte 1)

Algunos servicios se consideran parte de la infraestructura

Portscan: bsqueda de servicios abiertos en una direccin o rango de direcciones

Intento de conexin a muchos puertos

Resolucin de nombres Sistema distribuido

Phishing y otros ataques