Diplomado en

ciberseguridad

Adrián E. Rodríguez
CISSP, CISM, GCFA, GSEC, ISO Lead Auditor
 Cronograma
• Módulo I: Introducción general
• Módulo II: Seguridad avanzada en redes
• Módulo III: Inteligencia WEB / OSINT
– Perfilado
• Módulo IV: Inteligencia y forense
– Investigación forense
– Recolección de evidencia
• Módulo V: Aplicaciones seguras
• Módulo VI: Ataques y vulnerabilidades
– Detección de vulnerabilidades
– Explotación
Módulo II: Seguridad en
redes

Adrián E. Rodríguez
CISSP, CISM, GCFA, GSEC, ISO Lead Auditor
 Contenido
DEFENSA
Introduccion
Arquitecturas comunes
Firewalls
IDS/IPS
Honeypots
Defensa en profundidad
Ataque/defensa
Introducción

• Nuevas tecnologías  Nuevos ataques.

• Nuevos ataques  Nuevas tecnologías.
• Arquitecturas complejas  Arquitecturas
inseguras.?
• Aplicaciones comunes, mas ataques.

                        

    
Redes

• Inseguras por naturaleza. (Inclusive las

nuevas)

• Por allí viaja toda la información.

• Control de acceso. (Firewalls, SSO, Tokens)

• Encripción. (Datos)

• Aplicaciones. (NIDS, HIDS, Antivirus)

Sistemas
• Su configuración por defecto, es
generalmente insegura.

• Allí se almacena y administra toda la

información clave del negocio.

• Aseguramiento de servidores.

• Aseguramiento de Bases de Datos

• Los usuarios !!!

Arquitecturas comunes

DMZ

WAN

NIDS
INTERNET FIREWALL
LAN (Usuarios)

SERVIDORES
CRITICOS
Pros / Contras
PROS
• Se tienen segmentados los
servidores de Internet
• El Firewall no permite conexiones
directas desde Internet
• El IDS analiza todo el tráfico que
llega y sale del Firewall hacia
Internet
• Se puede integrar todo el esquema
con Antivirus, IDS, servidores de
Autenticación
• Se pueden realizar conexiones
desde Internet hacia la red interna
por medio de VPN.
CONTRAS
• El Firewall un punto de falla
para los servicios externos
• Los servicios internos NO
dependen del Firewall
• No se tiene control sobre los
acceso internos a los
servidores críticos
• Están en el mismo segmento
los usuarios y los servidores
críticos
Arquitecturas comunes

DMZ

WAN

NIDS
FIREWALL
INTERNET LAN (Usuarios)

MZ

SERVIDORES
CRITICOS
Pros / Contras

PROS CONTRAS
• Se tienen aislados los • Los servicios internos
servidores críticos de la red dependen del Firewall
LAN

• El rendimiento de las
• El Firewall controla las aplicaciones se puede
conexiones hacia los ver afectado por el
servidores críticos Firewall.
Arquitecturas comunes

DMZ WAN

NIDS
FIREWALL FIREWALL
INTERNET
LAN (Usuarios)

MZ

SERVIDORES
CRITICOS
Pros / Contras

PROS CONTRAS
• Se tienen segmentados los • Se requieren mecanismos de alta
servidores críticos de la red disponibilidad en el Firewall
LAN
Interno y Externo.
• Los servidores críticos no
dependen del Firewall de • Rendimiento de las aplicaciones
Internet (Perimetral).
• La red WAN (pequeña
Internet) esta controlada por
el Firewall
• Crecimiento (Segmentación
por usuarios)
Arquitecturas comunes

WAN
DMZ

NIDS

INTERNET FIREWALL
FIREWALL
LAN (Usuarios)
SERVIDORES
CRITICOS
Pros / Contras

PROS CONTRAS
• Se puede realizar • Se requieren mecanismos de alta
interconexión entre disponibilidad en el Firewall
diferentes redes o empresas Interno y Externo.
de manera segura usando • Rendimiento de las aplicaciones
Internet
• Se puede manejar
administración
independiente.
FIREWALLS
Qué es un firewall ?
• Una herramienta para proteger redes.
• Una herramienta para controlar el trafico entre
redes..
• Una herramienta que permite controlar accesos hacia
y desde una red de confianza.
• Un elemento de seguridad que permite detectar
ataques a nivel de red.
• Un elemento que forma parte de la política de
seguridad de una organización, no es la política de
seguridad de una organización.
• Permite el uso de reglas para autorizar o denegar el
acceso.
• La mayoría permite llevar registros (logs) de las
conexiones.
Por qué la necesidad de un firewall ?
• Porque la cantidad y calidad de ataques cada día
es superior.
• Porque siempre es necesario controlar las
conexiones entre redes confiables y redes que no
son de confianza.
• Para prevenir los accesos no autorizados a las
redes.
• Porque es necesario que el Administrador del
sistema pueda llevar una auditoría y un registro de
todas las conexiones que pasan por el firewall, ya
que estos son bastante útiles en el momento de
investigar un incidente de seguridad informática.
Tipos de firewalls existentes.

• Actualmente existen los siguientes tipos de

firewalls en el mercado:

• Packet Filters

• Application Layer Gateways.

• Stateful Inspection.
Packet Filters.

• Históricamente implementado en los routers.

• Basado en filtros como la dirección IP.

• Limitación para proveer seguridad para los

protocolos básicos.
Packet Filters.
Ventajas:
• Son independientes de la capa de aplicación.
• Se puede obtener un buen performance.
• Escalabilidad.
Desventajas:
• Baja seguridad.
• No pueden actuar arriba de la capa de red.
• Pueden ser fácilmente vulnerados por los
atacantes.
Application Layer Gateways.

• Actúan como intermediarios en las

conexiones (Proxys).

• Rompe el modelo cliente servidor.

• Puede permitir o denegar el acceso basado

en servicios.
Application Layer Gateways.
Ventajas
• Tienen un buen nivel de seguridad.
• Actúan a nivel de aplicación (Aunque de
forma limitada).
Desventajas
• Bajo rendimiento.
• Difícil escalabilidad (Ya que rompe el modelo
cliente/servidor).
• Cada servicio necesita su propio Proxy.
StateFul Inspection.
Características.
• Puede ver información sobre todas las capas.
• Puede guardar el estado de las
comunicaciones, como por ejemplo el
resultado del comando PORT de una sesión
FTP, de manera que se puedan verificar las
conexiones entrantes.
• Habilitar el estado de información derivada de
otras aplicaciones que accedan a través del
firewall para servicios autorizados solamente.
• Manipular información en el paquete.
Tipos de ataque que puede detectar un
firewall.
• Básicamente un firewall puede detectar
ataques a nivel de red (Por ejemplo escaneo
de puertos).
• Adicionalmente puede detectar intentos de
conexión a un puerto que se encuentre
filtrado en el firewall.
• Dependiendo de la configuración del firewall
se pueden detectar ataques del tipo Spoofing
(Falsificación de IP) para intentar acceder a
redes protegidas por el firewall.
Tipos de ataque que NO puede detectar un
firewall.
• Ataques a nivel de aplicación.
• Ataques sobre un servicio permitido en el
firewall.
• Ataques sobre un servicio permitido y que se
encuentre mal configurado.
Filtrado TCP/IP

• Es el método mas simple de controlar tráfico

hacia un equipo
• Presente en el sistema operativo
• Funciona a nivel de kernel, no depende de
otros servicios
• Controla solo el tráfico saliente
• Se aplica a todas las interfaces
 SISTEMAS DE
PROTECCION
/DETECCION DE
INTRUSOS
Qué es un Detector de Intrusos
(IDS) ?
• Un complemento para el nivel de seguridad que
provee el firewall.
• Una herramienta que permite detectar ataques a
nivel de red y a nivel de aplicación.
• Es una herramienta que permite detectar posibles
intrusiones.
• Proveen tres funciones esenciales de seguridad,
monitorear, detectar, y responder a actividades no
autorizadas.
• La gran mayoría pueden enviar e-mails, SNMP Traps,
y en algunos casos tomar acciones predeterminadas
por el administrador.
Por qué la necesidad de un
Detector de Intrusos (IDS) ?

• Un alto porcentaje de los incidentes de seguridad

ocurren desde las redes internas.
• Es necesario saber que pasa en un segmento de red.
• Porque es necesario poder identificar los intentos de
ataque sobre tipos de tráfico que en el firewall se
encuentren como permitidos.
Algunas firmas de ataque.

• Las siguientes son algunas firmas de ataque que

vienen incorporadas en la gran mayoría de
detectores de intrusos.
• Ataques a nivel de red, como Escaneos de puertos.
• Ataques sobre servidores Web IIS, Apache,
Coldfusion.
• Trafico SNMP legitimo e ilegitimo.
Establecimiento de conexiones TCP

Cliente Servidor

Envío Syn 1
Recepción Syn
2 Envío Syn/Ack
Recepción Syn/Ack
Envío Ack 3
Recepción Ack
Envío Fin Datos
Recepción Fin
Recepción Ack Envío Ack
 Reseteo de conexiones

Cliente Servidor

Envío Syn 1
Recepción Syn
2 Envío Syn/Ack

Recepción Syn/Ack
Envío Ack 3

Recepción Ack
Datos
Envío Rst
Recepción Rst
Teoría del ICMP
Orígenes y Utilización
• Internet Control Message Protocol
• Fue concebido originalmente como un mecanismo de
reportar
• Condiciones de error y el envío y recepción de solicitudes
simples.
• No utiliza puertos y va encapsulado en el Datagrama IP.

Aplicación

Transporte
TCP Y UDP

ICMP { Internet (Red)

IP

Interfaz de Red (Enlace)

Teoría del ICMP
Funcionamiento
Echo Request

Echo Reply

Trafico IP

Source quench

Trafico a puerto filtrado Enrutador

Admin prohibited

Trafico a puerto valido Enrutador

Host Unreachable
 Actividad Maliciosa Smurf
Paso 1: Se envía un Echo request a una dirección
Broadcast con dirección fuente falsa de victima.com

Paso 2: El enrutador permite trafico ICMP Echo

Request a direcciones broadcast.

Paso 3: Todos los host responden con un Echo

Reply a la direccion fuente real del mensaje.

Victima.com
 Actividad Maliciosa TFN

ribe Flood Network (TFN)

TFN Master: se comunica con los daemons
Por medio de Echo reply’s (ID en el header)

TFN Daemons

Los hosts inundan la victima

Victima
HIDS.

• Host Intrusion Detection Systems.

• Permiten detectar intentos de intrusiones sobre un
host en particular.
• Permiten detectar ataques sobre servidores que se
encuentran en la DMZ o en la MZ.
• Son un complemento para los logs del propio sistema
operativo.
NIDS.

• Network Intrusion Detection Systems.

• Permiten detectar ataques sobre segmentos de red.
• Son el complemento ideal para los firewalls.
• Actúa de forma similar a un sniffer.
• Puede ser pasivo (Monitoreo solamente) o activo
(tomar acciones predeterminadas cuando detecte un
ataque).
Combinación de HIDS y NIDS.

• Detección del ataque y detección del intruso.

• Ubicación de los detectores de intrusos en una red.
• Pensar como el atacante Buscar lo mas critico para la
operación del negocio.
Técnicas usadas por los IDSs.

• Detección de actividades anómalas.

• Comparación contra firmas de ataque.
• Técnicas mixtas (Por ejemplo una transferencia TFTP
invocada por medio del browser)
• Técnicas invisibles : Detecta ataques según el
método usado aunque estos se lleven a cabo durante
grandes intervalos de tiempo, es decir se genera un
ataque inicial y posteriormente (dos o tres meses
después) se produce un ataque de seguimiento al
objetivo.
Respuesta manual y automática.

La gran mayoría de detectores de intrusos existentes

en el mercado pueden ser configurados de dos
formas.
• Enviando mensajes y alertas sobre los eventos
que ocurren en la red, posteriormente el
administrador debe verificar el ataque y tomar
una acción.
• Actuando basado en filtros predeterminados, por
ejemplo puede bloquear conexiones si esta
integrado con el firewall. Este tipo de respuesta
puede generar problemas de conectividad si el
detector identifica una conexión legitima como un
ataque, o si el atacante falsifica su dirección IP
fuente.
Ventajas y desventajas de la
integración de los IDSs con los
Firewalls.
Ventajas
• Se disminuye la administración.
• Permite bloquear los intentos de ataque a un host.
• Permite bloquear atacantes.

Desventajas
• Si el detector identifica una conexión legitima con un
ataque puede generar problemas de conectividad.
SNORT
SNORT

• Snort es un IDS o Sistema de detección de intrusiones

basado en red (NIDS).
• Puede funcionar como:
• Sniffer
• Registro de paquetes
• IDS
Arquitectura

Snort
Packet Stream

Sniffing Packet Decoder

Data Flow
Preprocessor
(Plug-ins)
Detection Engine
(Plug-ins)
Output Stage Alerts/Logs
(Plug-ins)
Reglas

• Existen dos partes de las reglas:

• Cabecera:
• Acción
• Protocolos
• Direcciones IP
• Números de puerto
• Dirección de la operación
• Opciones
• Mensaje
• Opciones de decisión.
Reglas
EJEMPLO
• Veamos ahora un ejemplo de regla Snort para
alertar de un escaneo nmap del tipo TCP ping:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Escaneo ping con nmap";flags:A;ack:0;
reference:arachnids,28;classtype:attempted-recon; sid:628; rev:1;)
Analicemos esta alerta:
• Encabezados
– Acción de la regla: alert
– Protocolo: tcp
– Direccion IP origen: $EXTERNAL_NET (toda la red)
– Puerto IP origen: any (cualquiera)
– Direccion IP destino: $HOME_NET (toda nuestra red)
– Puerto IP destino: any (cualquiera)
– Dirección de la operación: -> (puede ser ->, <-, <>)
• OPCIONES
– Mensaje: msg
– Opciones: flags:A;ack:0; reference:arachnids..(1)
Técnicas de Evasión
de IDS - Técnicas

• No solo hacer un ataque indetectable sino

también hacerlo parecer menos peligroso de lo
que realmente es.

• La mayoría funcionan basados en firmas,

relación velocidad-veracidad de la detección.
Técnicas de Evasión
de IDS - Técnicas

• Debilidades en la detección de Strings

• Debilidades de ensamble de paquetes

• Ataques de Negación de Servicios

Técnicas de Evasión
de IDS - Técnicas
Debilidades en la detección de Strings
• alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg: “WEB-MISC
/etc/passwd”; flags: A+ content: “/etc/passwd”; nocase;
classtype:attempted-recon; sid 1122; rev:1;)
• //etc//passwd
• ///etc/passwd
• /etc\passwd
• /EtC/PasSWD
• /etc/algundirectorio/algundirectorio2/../../passwd
• /././etc/./././././passwd
• %65%74%63/%70%61%73%73%77%64
• /muchoscaracteres/../etc/passwd
• Envío de scripts
Técnicas de Evasión
de IDS - Técnicas
• Debilidades de ensamble de paquetes
• Envío de paquetes en desorden
• Segmentación de Sesiones
Paquete Contenido
1 /
2 e
3 t
4 c
5 /
6 p
… …
Técnicas de Evasión
de IDS - Técnicas
Ataques de Negación de Servicios
• Consumir los recursos del IDS para que el ataque
real no sea detectado
• Llenar el disco del IDS evitando que los ataques
sean logueados
• Causar más alarmas de las que puede manejar los
sistemas de Administración (Bases de datos,
Motores de Corelación, Alertas)
• Causar que el personal no sea capaz de investigar
los ataques
• Bloquear el IDS
Lab:Snort
• Configurar SNORT en modo monitor
• Configurar una regla de deteccion de nmap
(misreglas.rules)

• Configurar una regla de detección de Ping

• Configurar una regla que alerte una visita web a
eltiempo.com
Lab:Snort
• alert tcp any any -> any any (msg:"My Name!";
content:"Skon";sid:1000001;rev:1;)
HONEYPOTS
Qué es un Honeypot ?

• Puede ser un host o una red.

• Es una trampa para el hacker.
• Es una forma de divertir al hacker sin afectar los
sistemas de producción.
• Es una maquina sobre la cual se lleva una auditoria
especial para poder recolectar evidencia que permita
establecer intentos de ataque a una red.
• No hay consumo adicional de ancho de banda,
sobrecarga de los IDS o cosas por el estilo: El
HoneyPot simplemente guarda lo que llega a él.
Honeypot

• No dejar la máquina lo suficientemente vulnerable

como para que no sea tomada en serio o sea
descubierta
• Tampoco la fortalezca demasiado …
• Debe estar en una red independiente
• Pero tampoco bloquee por completo el servidor!
• Configure el NIDS para que envíe alertas
especiales sobre el HoneyPot
• Mantenga TODOS los logs FUERA del Honeypot!!!
• Mantenga actualizado el HoneyPot como cualquier
otro host de la red
Por qué la necesidad de un
honeypot ?

• Los atacantes son cada vez mas creativos y astutos.

• Se pueden redireccionar los ataques a una maquina
especifica para evitar que los mismos vayan hacia los
sistemas en producción.
• Permite conocer de cerca el modus operandi de un
atacante.
• Estudio del comportamiento de Virus y Gusanos, así
también como ataques automatizados.
Riesgos asociados a la
implementación de un
Honeypot

• El atacante puede ser extremadamente astuto

(Hacker de elite).
• Si no se implementa de forma adecuada puede
permitir el acceso a sistemas internos de la
organización.
• El servidor falso se puede convertir en un lugar de
almacenamiento de contenido pornográfico o ilegal
(Warez, MP3, etc).
HoneyPots

FIREWALL

Atacante SERVIDORES
CRITICOS
HoneyPots

FIREWALL

Atacante SERVIDORES
CRITICOS
DEFENSA EN PROFUNDIDAD
DEFENSA EN PROFUNDIDAD
Taller: Blue team
Taller
Taller: Análisis de Captura
Taller: Reporte de Incidente
Preguntas?