anatomia de ataque informatico

April 4, 2018 | Author: Anonymous | Category: Documents
Share
Report this link


Description

Anatomía de los ataques informáticos y medidas técnicas preventivas Gabriel Díaz Orueta Anatomía de ataques informáticos Gabriel Díaz Orueta 1 Anatomía de los ataques informáticos y medidas técnicas preventivas 1- Introducción 2- Anatomía de un ataque 3- Principales vulnerabilidades Anatomía de ataques informáticos Gabriel Díaz Orueta 2 1- Introducción Anatomía de ataques informáticos Gabriel Díaz Orueta 3 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 Anatomía de ataques informáticos Gabriel Díaz Orueta 5 Introducción • Cualquiera puede ser objetivo de un ataque • No solo son susceptibles los PC, también móviles, PDAs, etc. • Internet es un territorio hostil • Los atacantes tienen intereses económicos Anatomía de ataques informáticos Gabriel Díaz Orueta 6 ¿Qué es seguridad? • La seguridad absoluta es indemostrable. Se habla de fiabilidad • Mantener un sistema seguro consiste en garantizar (CIA: Confidentiality, Integrity, Availability): – Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados – Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados – Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados (contrario: denegación de servicio) – Y más…Autenticación y autorización Anatomía de ataques informáticos Gabriel Díaz Orueta 7 ¿Qué queremos proteger? • Los recursos del sistema – Hardware – Software – Datos • Tipos de ataque a los recursos: – Interrupción: el recurso queda inutilizable o no disponible – Interceptación: captura de un recurso o acceso al mismo – Modificación o destrucción: Interceptación y manipulación del recurso – Fabricación: generación de recursos similares a los atacados Anatomía de ataques informáticos Gabriel Díaz Orueta 8 ¿De qué nos queremos proteger? • De todos aquellos agentes que puedan atacar a nuestros recursos – Personas: empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados – Amenazas lógicas: software defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo, técnicas salami – Catástrofes Anatomía de ataques informáticos Gabriel Díaz Orueta 9 Algunos ejemplos: Personas • Un ex-empleado se cuela en la organización después de ser despedido. Borra todos los expedientes relacionados con los proyectos en los que trabajó • Un empleado instala el e-mule en su ordenador. Entre los archivos descargados está un fichero infectado. Cuando intenta visualizarlo infecta su ordenador. La infección se extiende a todos los ordenadores de su departamento • Un empleado entra a la zona privada de la Web corporativa desde un ciber-café durante su vacaciones. Pulsa sin darse cuenta en el botón de recordar clave. Su clave queda almacenada. Desde dicho ordenador extraen los datos personales de todos los empleados de la empresa Anatomía de ataques informáticos Gabriel Díaz Orueta 10 Algunos ejemplos: Catástrofes • Un rayo genera una sobre tensión en la red eléctrica. El servidor central de la empresa se ve afectado y su disco duro deja de funcionar • Al poner un archivador en una estantería el administrador de sistemas empuja un bote de refresco empuja y este cae sobre un servidor. La placa se quema Anatomía de ataques informáticos Gabriel Díaz Orueta 11 ¿Cómo nos podemos proteger? 1. 2. 3. 4. - Análisis de amenazas Evaluación de (posibles) pérdidas y su probabilidad Definición de una política de seguridad Implementación de la política: mecanismos de seguridad De prevención: durante el funcionamiento normal del sistema De detección: mientras se produce un intento de ataque De recuperación: tras un ataque, para retornar a un funcionamiento correcto: Análisis forense Anatomía de ataques informáticos Gabriel Díaz Orueta 12 Vulnerabilidad La vulnerabilidad de una organización depende de: • El grado de publicidad de la organización • El coste de los ataques • La exposición de la organización a los ataques externos • La exposición de la organización ante ataques internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior En definitiva, depende de la: • Motivación: ¿Qué ventaja o provecho se puede sacar por obtener o destruir información? • Confianza: ¿En qué medida se puede contar con los usuarios? Anatomía de ataques informáticos Gabriel Díaz Orueta 13 Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a una organización mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos • ¿Los malos van a tratar de actuar sobre mi sistema? • ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información importante para mi organización? • ¿Puede ocurrir que la reputación de mi organización se vea comprometida? Anatomía de ataques informáticos Gabriel Díaz Orueta 14 Tipos de amenazas • Fallo de componentes (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo • Exposición de la información: correo mal enrutado, salida de una impresora, grupos o listas de acceso mal configuradas... • Utilización de la información para usos no previstos. Puede venir del exterior o del interior • Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad • Penetración: Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios... • Suplantación: Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la organización Anatomía de ataques informáticos Gabriel Díaz Orueta 15 Algunos ejemplos de amenazas lógicas • Virus. secuencia de código maligna que se inserta en un fichero ejecutable (huésped) • Gusano. Programa capaz de ejecutarse y propagarse por si mismo a través de la red. Puede contener un virus • Caballo de Troya. Instrucciones desconocidas en un programa para realizar tareas ocultas • Programa conejo o bacteria. No hace nada útil. Se dedican a reproducirse hasta que acaban con los recursos del sistema • Técnica salami. Se aplica a sistemas que manejan dinero. Extrae pequeñas cantidades en las transacciones que transfiere a una cuenta • Puertas traseras. Atajos que se construyen los programadores para evitar los sistemas de seguridad en la fase de “testing” • Canales ocultos. Canales que evitan los sistemas de seguridad y monitorización Anatomía de ataques informáticos Gabriel Díaz Orueta 16 Ejemplos de signos de ataque • El sistema se para • Discrepancias en la información sobre las cuentas (p. ej. /usr/admin/lastlog disminuye a veces) • Intentos de escritura en los ficheros del sistema • Algunos ficheros desaparecen • Denegación de servicio (el sistema pasa a monousuario, y ni siquiera el administrador puede entrar) • Las prestaciones del sistema son inexplicablemente bajas • Sondas sospechosas (logins incorrectos repetidos desde otro nodo) Anatomía de ataques informáticos Gabriel Díaz Orueta 17 Ejemplos de signos de ataque • • • • • • • • Logins desde lugares o a horas no habituales Ficheros con nombres sospechosos (“...”, “.. ”, “.xx”, “.mail”, etc.) Cambios en los ficheros de claves, listas de grupos, etc. Cambios en ficheros de configuración del sistema, en bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias periódicas (ftp, mail) no justificables Interfaces de red en modo promiscuo Anatomía de ataques informáticos Gabriel Díaz Orueta 18 Ejemplos de agujeros en la seguridad • Claves fáciles de adivinar, o claves por defecto • Cuentas inactivas o no usadas, cuentas innecesarias, cuentas de grupo • Servicios no seguros mal configurados (tftp, sendmail, ftp) • Servicios no seguros e inútiles (finger, rusers, rsh) • Ficheros de configuración de la red o del acceso no seguros (entradas + en configuración NIS) • Consolas inseguras • Protección de acceso y propiedad de ficheros sensibles mal configurada • Versiones no actualizadas del sistema operativo • Conexiones telefónicas inseguras • Política de copias de seguridad inexistente o mal diseñada Anatomía de ataques informáticos Gabriel Díaz Orueta 19 Contramedidas • Identificación y Autenticación (I&A). Procedimiento por el que se reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos: – Estática (username/password) – Robusta (claves de un solo uso, firmas electrónicas) – Continua (firmas electrónicas aplicadas a todo el contenido de la sesión) • Control de la adquisición y actualización del software. Previene contra los virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licencias • Cifrado. Proporciona confidencialidad, autenticidad e integridad • Actuaciones en el nivel de arquitectura. Redes privadas virtuales, Sistemas de acceso remoto, acceso a bases de datos, etc Anatomía de ataques informáticos Gabriel Díaz Orueta 20 Contramedidas • Gestión de incidentes. Detección de ataques, históricos, control de integridad, etc • Acciones administrativas. Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc • Formación. Información a los usuarios de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc Anatomía de ataques informáticos Gabriel Díaz Orueta 21 2- Anatomía de un ataque CPU Anatomía de ataques informáticos Gabriel Díaz Orueta 22 Clasificación • Según el origen: – Externo. Realizados desde el exterior del sistema – Interno. Realizados desde el interior del sistema • Según la complejidad: – No estructurado. No coordinan diferentes herramientas o fases. Suelen ser inocentes – Estructurado. Se enfocan como un proyecto. Tienen diferentes fases y utilizan diferentes herramientas de forma coordinada. Son los más peligrosos Anatomía de ataques informáticos Gabriel Díaz Orueta 23 Anatomía de un ataque Borrando las huellas Búsqueda Acceso Rastreo Obtención de privilegios Puertas traseras Enumeración Pilfering Denegación de servicio Anatomía de ataques informáticos Gabriel Díaz Orueta 24 Anatomía de un ataque. Búsqueda • Objetivo – Recogida de información, ingeniería social, selección de rangos de direcciones y espacios de nombres • Técnicas – Búsquedas en información pública (Google: nombre -> URL) – Interfaz Web a whois – ARIN, RIPE whois – DNS zone transfer (nslookup) – Reconocimiento de redes (traceroute) Anatomía de ataques informáticos Gabriel Díaz Orueta 25 Ejemplo de búsqueda Nombre empresa Web Dominio Anatomía de ataques informáticos Información Gabriel Díaz Orueta sobre el dominio 26 Transferencia de zona • Un servidor de nombres primario (secundario) transfiere toda su base de datos a un servidor secundario Definición de zona $TTL 86400 @ IN 42 3H 15M 1W 1D ) IN IN IN IN IN IN IN IN IN IN IN IN IN IN IN IN SOA dominio_ejemplo.org. postmaster.dominio_ejemplo.org. ( ; serial ; refresh ; retry ; expiry ; minimum ns1.dominio_ejemplo.org. ns2.dominio_ejemplo.org. 10 mx1.dominio_ejemplo.org. 20 mx2.dominio_ejemplo.org. "dominio_ejemplo.org" "Intel Pentium IV" "Fedora Core" nombre @ ns1 ns2 mx1 mx2 www www2 webmail smtp redirect @ @ @ @ @ @ NS NS MX MX TXT HINFO A A A A A A A A A CNAME Primario Secundario IP 215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 214.125.33.41 215.127.55.12 215.127.55.12 215.127.55.12 215.127.55.12 Anatomía de ataques dominio_ejemplo.no-ip.info Transferencia de zona informáticos 27 Se pueden conseguir las IPs activas en el dominio Gabriel Díaz Orueta Anatomía de un ataque. Búsqueda • Contramedidas – Control del contenido de la información pública – Precaución con la información de registro – Seguridad en DNS (p. ej. no permitir las transferencias de zona) – Instalación de sistemas de detección de intrusiones (NIDS) Anatomía de ataques informáticos Gabriel Díaz Orueta 28 Anatomía de un ataque. Rastreo (scanning) • Objetivo – Identificación de equipos y servicios. – Selección de los puntos de entrada más prometedores • Técnicas – Ping sweep (fping, nmap) – Consultas ICMP (icmpquery) – TCP/UDP port scan (Strobe, udp-scan, netcat, nmap, SuperScan, WinScan, etc.) – Detección del sistema operativo (nmap, queso) – Herramientas de descubrimiento automático (Chaos) Anatomía de ataques informáticos Gabriel Díaz Orueta 29 Ejemplo de rastreo fping Una vez que sabemos las IPs o los nombres podemos saber si están activas Siguiente paso … ¿qué puertos tienen abiertos? Anatomía de ataques informáticos Gabriel Díaz Orueta 30 Anatomía de un ataque. Rastreo • Contramedidas – Herramientas de detección de ping (Scanlogd, Courtney, Ippl, Protolog) – Configuración adecuada de los routers de frontera (access lists) – Cortafuegos personales, herramientas de detección de rastreo (BlackICE, ZoneAlarm) – Desconectar servicios inútiles o peligrosos Anatomía de ataques informáticos Gabriel Díaz Orueta 31 Anatomía de un ataque. Enumeración • Objetivo – Descubrir cuentas de usuario válidas y recursos compartidos mal protegidos • Técnicas – Listados de cuentas (finger) – Listados de ficheros compartidos (showmount, enumeración NetBIOS) – Identificación de aplicaciones (banners, rpcinfo, rpcdump, etc.) – NT Resource Kit • Contramedidas – Las del rastreo – Control del Software – Formación de los usuarios Anatomía de ataques informáticos Gabriel Díaz Orueta 32 Ejemplo www.inforg.uned.es nslookup 156.35.131.170 telnet 156.35.131.170 80 HTTP/1.1 400 Bad Request Date: Mon, 04 Feb 2008 11:15:13 GMT Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 mod_ssl/2.2.3 OpenSSL/0.9.8c Content-Length: 360 Connection: close Content-Type: text/html; charset=iso-8859-1 Sabemos que el servicio Web está activo, Que el servidor Web es Apache Que el SO es Debian 33 Anatomía de ataques informáticos Gabriel Díaz Orueta Anatomía de un ataque. Acceso • Objetivo – Ya disponemos de información suficiente para intentar un acceso documentado al sistema • Técnicas – Robo de passwords (eavesdroping) y crackeado de passwords (Crack, John the Ripper) – Forzado de recursos compartidos – Obtención del fichero de passwords – Troyanos y puertas traseras (BackOrifice, NetBus, SubSeven) – Ingeniería social Anatomía de ataques informáticos Gabriel Díaz Orueta 34 Anatomía de un ataque. Acceso • Contramedidas – Control de las actualizaciones del software – Control en la instalación o ejecución de aplicaciones – Cortafuegos personales, detección de intrusiones – Educación de los usuarios (selección de buenas passwords) – Auditoría e históricos Anatomía de ataques informáticos Gabriel Díaz Orueta 35 Anatomía de un ataque. Obtención de privilegios • Objetivo – Obtener permisos de administrador a partir de los permisos de usuario • Técnicas – Vulnerabilidades conocidas – Desbordamiento de buffers, errores en el formato de cadenas, ataques de validación de entradas – Capturadores de teclado – Las del acceso • Contramedidas – Las del acceso Anatomía de ataques informáticos Gabriel Díaz Orueta 36 Anatomía de un ataque. Pilfering • Objetivo – Nueva búsqueda de información para atacar a otros sistemas de confianza • Técnicas – Evaluación del nivel de confianza (rhosts, secretos LSA) – Búsqueda de passwords en claro (bases de datos, servicios Web) • Contramedidas – Las del acceso – Herramientas de monitorización de red – Actuaciones en el nivel de arquitectura Anatomía de ataques informáticos Gabriel Díaz Orueta 37 Anatomía de un ataque. Borrando las huellas • Objetivo – Una vez que se tiene el control total del sistema, ocultar el hecho al administrador legitimo del sistema • Técnicas – Limpieza de logs – Ocultación de herramientas – Troyanos y puertas traseras • Contramedidas – Gestión de históricos y monitorización, a nivel de red y a nivel de host. – Control del SW instalado Anatomía de ataques informáticos Gabriel Díaz Orueta 38 Anatomía de un ataque. Creación de puertas traseras • Objetivo – Permiten a un intruso volver a entrar en un sistema sin ser detectado, de la manera más rápida y con el menor impacto posible • Técnicas – Cuentas de usuario ficticias, robadas o inactivas – Trabajos batch – Ficheros de arranque infectados, librerías o núcleos modificados – Servicios de control remoto y caballos de Troya (Back Orifice) – Servicios de red inseguros (sendmail, rhosts, login, telnetd, cronjob) – Ocultación del tráfico de red y ocultación de procesos Anatomía de ataques informáticos Gabriel Díaz Orueta 39 Anatomía de un ataque. Creación de puertas traseras • Contramedidas – Básicamente, las del acceso (control riguroso del SW ejecutado, monitorización de los accesos, sobre todo a determinados puertos, cortafuegos personales, etc.) – Búsqueda de ficheros sospechosos (nombres por defecto de las puertas traseras) Anatomía de ataques informáticos Gabriel Díaz Orueta 40 Anatomía de un ataque. Denegación de servicio • Objetivo – Si no se consigue el acceso, el atacante puede intentar deshabilitar el objetivo • Técnicas – – – – Inundación de SYNs Técnicas ICMP Opciones TCP fuera de banda (OOB) SYN Requests con fuente/destino idénticos • Contramedidas – Configuración cuidadosa de los cortafuegos y routers Anatomía de ataques informáticos Gabriel Díaz Orueta 41 Ejemplo de ataque DDOS • Ataque por denegación de servicio distribuido (DDOS) Máquina objetivo Máquina origen Zombi Anatomía de ataques informáticos Gabriel Díaz Orueta 42 Ejemplo de ataque: DDOS • Muy eficaz. Deja rápidamente a la máquina fuera de combate • Difícil de parar. Si los zombies están bien elegidos estarán en diferentes subredes. Será complicado cortar el flujo de tráfico • No tiene demasiada complejidad. Es suficiente enviar algún tipo de paquetes que colapsen el servidor. No se necesita tener acceso al objetivo Anatomía de ataques informáticos Gabriel Díaz Orueta 43 Ejemplo de ataque: Phishing bancario • Basado en la idea del CazaBobos • Se rastrean páginas Web localizando direcciones de correo…o se “alquilan” los servicios de una botnet. • Se hace un mailing a dichas direcciones – Se disfraza la página Web haciendo parecer la de un banco – Se solicita entrar una dirección para solucionar un posible problema de seguridad (algo que llame la atención al usuario para que acceda) – Aunque el texto del enlace parece real, la dirección con la que conecta es la del presunto atacante Anatomía de ataques informáticos Gabriel Díaz Orueta 44 Ejemplo de ataque: Phishing bancario Dirección real: http://rumager.com/... Anatomía de ataques informáticos Gabriel Díaz Orueta Dirección diferente Protocolo no seguro 45 Ejemplo de ataque: Phishing bancario • Entramos en la página • Nos pide el nombre de usuario y la contraseña del supuesto banco • La introducimos • No informa que el problema ha sido solucionado • !TIENEN NUESTRO NOMBRE DE USUARIO Y NUESTRA CONTRASEÑA! Anatomía de ataques informáticos Gabriel Díaz Orueta 46 Ejemplo de ataque: IP Spoofing • Se suplanta la personalidad de un equipo • Es un ataque muy sofisticado Denegación de servicio Suplantador IP: 156.35.14.2 Suplantado IP: 156.35.14.2 Se modifican las rutas 47 Anatomía de ataques informáticos Gabriel Díaz Orueta 3- Principales vulnerabilidades Anatomía de ataques informáticos Gabriel Díaz Orueta 48 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Servidor Acceso Remoto Servidor 10 Estación 12 Trabajo 5 13 Internet Cortafuegos Router Interno 14 11 11 Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta LAN interna 6 9 Servidor Estación Trabajo 49 Usuario Remoto 2 Servidor 7 Servidor 10 LAN DMZ DMZ interna Control de acceso al router inadecuado: ACLs mal configuradas en el router pueden 13 permitir la fuga de información a través de Estación 12 paquetes ICMP, IP 8 NetBIOS, y facilitar el Trabajo 5 o Router Router acceso no autorizado a servicios dentro de la Cortafuegos frontera Interno zona desmilitarizada. 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto 3 Anatomía de ataques informáticos Gabriel Díaz Orueta 50 4 1: Servidor Internet 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 2: Router Interno Servidor 10 Estación 12 Trabajo 5 13 Internet Usuario Remoto 14 LAN Los Servidor puntos de acceso remoto no seguros y no interna Acceso monitorizados proporcionan una de las 11 Remoto 6 maneras más sencillas de acceder a una red 11 corporativa. Los usuarios remotos se suelen Oficina Estación Servidor conectar a Internet con pocas protecciones, 9 Remota Trabajo exponiendo al ataque información sensible Anatomía de ataques informáticos Gabriel Díaz Orueta 51 3: 4 Servidor 10 Estación 12 Trabajo 5 Servidor Servidor 7 La información disponible puede proporcionar LAN DMZ DMZ información sobre el sistema operativo, interna versiones de las aplicaciones, usuarios, 13 grupos, recursos compartidos, información DNS (transferencias de zonas), y servicios 8 Router Router abiertos como SNMP, finger, SMTP, telnet, Cortafuegos frontera Interno rpcinfo, NetBIOS, etc. 1 Servidor Acceso Remoto Internet 14 11 11 Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta LAN interna 6 9 Servidor Estación Trabajo 52 Usuario Remoto 2 4: 3 Servidor Servidor 7 Los servidores que corren servicios inneceLAN DMZ DMZ sarios (RPC, FTP, DNS, SMTP) pueden ser interna fácilmente atacados. 8 Router frontera 1 Servidor Acceso Remoto Servidor 10 Estación 12 Trabajo 5 13 Internet Cortafuegos Router Interno 14 11 11 LAN interna 6 9 Servidor Estación Trabajo 53 Usuario Remoto 2 Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ Servidor 10 LAN interna La utilización de palabras clave débiles, fáciles de adivinar o la reutilización de Estación clave palabras 12 en las 8 estaciones de trabajo puede compromeTrabajo Router ter los Cortafuegos servidores. Interno 14 Servidor Acceso Remoto Servidor 5: DMZ 7 13 Internet Router frontera 1 Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo 54 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Servidor Acceso Remoto Servidor 10 Estación 12 Trabajo 5 13 Internet Cortafuegos 6: Router Interno 14 Usuario Remoto 2 LAN Otra vulnerabilidad muy común son las interna 11 cuentas de invitado, de prueba, o de usuario 11 con privilegios excesivos. Oficina Estación Servidor 9 Remota Trabajo 55 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ 7: Servidor Servidor Servidores de Internet en la zona desmilitari- 10 LAN DMZ zada mal configurados, sobre todo el interna código CGI o ASP, o servidores FTP anónimo con directorios accesibles en escritura Estación 12 8 para todo el mundo. SQL injection Trabajo 5 Router Cortafuegos Interno 14 Servidor Acceso Remoto 13 Internet Router frontera 1 Usuario Remoto 2 11 11 Oficina Remota LAN interna 6 9 Servidor Estación Trabajo 56 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ Servidor DMZ 8: 7 LAN interna Servidor 10 Estación 12 Trabajo 5 Router Router Cortafuegos de acceso (ACL) mal configuradas Unas listas frontera Interno en el cortafuegos o en el router pueden per1 14 mitir el acceso desde el exterior, bien directaLAN mente, o bien una vez que la zona desmilitaServidor interna rizada ha sido comprometida. Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto Anatomía de ataques informáticos Gabriel Díaz Orueta 57 13 Internet 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 9: Router Interno Servidor 10 Estación 12 Trabajo 5 13 Internet Servidor Acceso Remoto Usuario Remoto 2 14 Software obsoleto, LAN no se le han instaal que interna lado los parches recomendados por el fa11 6 bricante, vulnerable, o con las configuraciones 11 por defecto, especialmente los servidores Oficina Estación Servidor WWW. Remota Trabajo 58 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ 13 Internet Router frontera 1 10: Servidor 7 Servidor Controles de accesoLAN ficheros o a los a los DMZ interna directorios mal configurados (e.g. Recursos compartidos en Windows NT, recursos Estación 12 exportados con NFS en Unix. 8 Trabajo 5 Router Cortafuegos Interno 14 LAN interna 6 9 Servidor Estación Trabajo 59 Servidor Acceso Remoto Usuario Remoto 2 11 11 Oficina Remota Anatomía de ataques informáticos Gabriel Díaz Orueta 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Cortafuegos 11: Router Interno Servidor 10 Estación 12 Trabajo 5 13 Internet Usuario Remoto 14 Las relaciones de confianza excesivas en dominios NT o entradas en LAN .rhosts y Servidor interna Acceso host.equiv en Unix pueden proporcionar a los Remoto 6 atacantes acceso no11 autorizado a sistemas 2 Sensibles (pilfering). Oficina Estación Servidor 9 Remota Trabajo Anatomía de ataques informáticos Gabriel Díaz Orueta 60 4 3 Servidor DMZ Servidor DMZ 12: 7 LAN interna Servidor 10 13 Internet Router frontera 1 Los servicios sin control de acceso de Estación 8 usuarios, como X Windows permiten a los Trabajo 5 atacantes Router la captura de las pulsaciones del Cortafuegos teclado. Interno 14 LAN interna 6 9 Servidor Estación Trabajo 61 Servidor Acceso Remoto Usuario Remoto 2 11 Oficina Remota 11 Anatomía de ataques informáticos Gabriel Díaz Orueta 4 Servidor 10 LAN interna La gestión inadecuada de históricos, la falta de una monitorización adecuada o la falta Estación 12 8 de servicios de detección de intrusiones tanto Trabajo 5 Router Router en el nivel de red como en los ordenadores Cortafuegos frontera Interno conectados a ella. 1 14 LAN Servidor interna Acceso 11 Remoto 6 11 2 Oficina Estación Usuario Servidor 9 Remota Trabajo Remoto Anatomía de ataques informáticos Gabriel Díaz Orueta 62 3 Servidor 13: DMZ Servidor DMZ 7 Internet 4 3 Servidor DMZ Servidor DMZ 7 LAN interna 8 Router frontera 1 Servidor Acceso Remoto Servidor 10 Estación 12 Trabajo 5 13 Internet 14: Cortafuegos Router Interno Usuario Remoto 2 La falta de políticas de seguridad aceptadas LAN por todos y bien definidas y publicadas, así interna como de los procedimientos, normas y guías 11 de actuación relacionadas. 6 11 Oficina Remota 9 Servidor Estación Trabajo 63 Anatomía de ataques informáticos Gabriel Díaz Orueta ¿Alguna pregunta? Gabriel Díaz Orueta, Dpto. Ingeniería Eléctrica Electrónica y de Control http://www.ieec.uned.es Anatomía de ataques informáticos Gabriel Díaz Orueta 64 Bibliografía • Seguridad en las comunicaciones y en la información. Gabriel Díaz, Francisco Mur, Elio Sancristóbal, Manuel Alonso Castro, Juan Peire. Universidad Nacional de Educación a Distancia. 2004 • Fundamentos de Seguridad de Redes. Aplicaciones y Estándares. William Stallings. Prentice Hall. 2004 • Seguridad en Redes y Sistemas Informáticos. José M. Huidobro Moya, David Roldán Martínez. Paraninfo. 2005 • Diseño de seguridad en redes. Merike Kaeo. Cisco Press. 2003 • Seguridad en UNIX. Manuel Mediavilla. RAMA. 1998 • Tecnologías biométricas aplicadas a la seguridad. Marino Tapiador Mateos, Juan A. Sigüenza Pizarro. RAMA. 2005 • Seguridad en Internet. Denis Dornoy. PC Cuadernos básicos. 2003 Anatomía de ataques informáticos Gabriel Díaz Orueta 65 Bibliografía • Firewalls Linux. Guía Avanzada. Robert L. Ziegler. Prentice Hall. 2001 • Inside Network Perimeter Security. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick, Ronald W. Ritchey. SANS GIAC. 2003 • Hacking Exposed. Stuart McClure, Joel Scambray, George Kurtz. McGrawHill. 2003 • Internet Forensics. Robert Jones. O’Reilly. 2005 • Real Digital Forensics. Keith J. Jones, Richard Bejtlich, Curtis W. Rose. Addison-Wesley. 2006 • File System Forensic Analysis. Brian Carrier. Addison-Wesley. 2005 • Forensics Discovery. Dan Farmer, Wietse Venema. AddisonWesley. 2004 Anatomía de ataques informáticos Gabriel Díaz Orueta 66


Comments

Copyright © 2025 UPDOCS Inc.